[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0577] Re: Safari:リンクの偽装脆弱性 ?

篠田です。

On 2003/12/15, at 20:37, taiyo@xxxxxxxxxxx wrote:

> http://www.ed.kagawa-u.ac.jp/~akiyama/mac/News/MacTroubles.html#031215
> に、Safariでも巷を騒がせているURLの偽装問題が確認されているとの記述がありますが、手元の環境(Apple Security > Update 2003-12-05済み)ではどうやっても再現できません。

手元に 10.2.8 のイメージが残っていましたので検証してみました。

セキュリティホール memo さんの表
<http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2003/ 12.html#20031211_IE>
に合わせて,
a. スターダストさんの「12月11日追記3−−−偽装度アップの巻−−−」non Javascript 版
<http://d.hatena.ne.jp/hoshikuzu/20031210#p7> の偽リンク
b. セキュリティホール memo さんの Javascript 版
<http://www.st.ryukoku.ac.jp/%7Ekjm/test/citibank.html>
としています。

○は fake 文字列も表示された
×は fake 文字列は表示されない
です。

Mac OS X 10.2.8 Jaguar + Security-Update-2003.12-05 以前 + Safari 1.0 (v85.6)
a. クリック後のアドレスバー表示 ○  クリック前のステータスバー表示 ×
b. クリックしてもページ移動なし    クリック前のステータスバー表示 ×

Mac OS X 10.2.8 Jaguar + Security-Update-2003.12-05 パッチ済み + Safari 1.0 (v85.6)
a. クリック後のアドレスバー表示 ○  クリック前のステータスバー表示 ×
b. クリックしてもページ移動なし    クリック前のステータスバー表示 ×

Mac OS X 10.3.1 Panther + Security-Update-2003.12-05 以前 + Safari 1.1 (v100.1)
※環境が無いので未検証

Mac OS X 10.3.1 Panther + Security-Update-2003.12-05 パッチ済み + Safari 1.1 (v100.1)
a. クリック後のアドレスバー表示 ○  クリック前のステータスバー表示 ○
b. クリックしてもページ移動なし    クリック前のステータスバー表示 ×

Security-Update-2003-12-05 の前後は Safari 1.0 でしか試せていませんが,Safari
1.1. でのみステータスバーの fake が効かないのは WebCore あたりの仕様変更では
ないかと思います。

結局, Safari の場合,
・ステータスバーはあてにならない。
・non Javascript 版でもアドレスバー表示に注意していれば,罠に引っかからない
・Javascript 版ではそもそもリンク先に飛ばない
ということでしょうか。
---
篠田伸夫 SHINODA Nobuo <http://homepage.mac.com/shinoda/>


--[PR]------------------------------------------------------------------
/ ̄ \/ ̄ \ ♪ 今すぐあなたの理想の相手を教えて! ♪  / ̄ \/ ̄ \
\     / ━━━━━━━━━━━━━━━━━━━━  \     /
 \   /     新・結婚情報サービス サンマリエ     \   /
  \_/  年齢? 地域? 職業? 年収? あなたの希望条件は? \_/
        http://ad.freeml.com/cgi-bin/ad.cgi?id=cvBSR
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp