.
米Microsoft、IEのURL詐称の問題に対処する修正プログラムを公開予定と発表
ユーザー名とパスワードを記述したHTTPアドレスにアクセスできる機能は削除
(04/01/28)
米Microsoftは27日(現地時間)、IEのURL詐称の問題に対処するため、ユーザー名とパスワードを“http://username:password@server/”のように記述したHTTPアドレスにアクセスできるIEの機能を削除する予定であることを明らかにした。URL詐称とは、リンク先URLに特定の文字が含まれる場合、リンク文字列にマウスを重ねたときに実際のリンク先とは異なるURLがステータスバーに表示されたり、実際に表示中のWebページとは異なるURLがアドレス欄に表示されてしまうことがある問題で、悪用されるとクレジットカードの番号を盗まれるなどの危険性がある。マイクロソフト(株)によれば、IEのURL詐称の問題に対処するセキュリティ修正プログラムの公開時期は不明だが、英語OS向けに公開後、日本語OSでの動作検証や翻訳作業が済み次第、早急に日本語OS向けのものを提供する予定とのこと。また、過去の実績では英語OS向けに修正プログラムを公開後、最短で24時間以内に日本語OS向けのものを公開しているとのことなので、IEのURL詐称の問題に対処する修正プログラムについても公開のタイムラグが少ないものと期待できるだろう。
□834489 - Microsoft plans to release a software update that modifies the default behavior of Internet Explorer for handling user information in HTTP and HTTPS URLs
http://support.microsoft.com/?scid=kb;ja;834489
□833786 - 成りすました Web サイトおよび悪意のあるハイパーリンクを見分けるための手順
http://support.microsoft.com/?id=833786
□窓の杜 - 【Release NEWS】マイクロソフト、セキュリティ修正プログラムの1月版をリリース
http://www.forest.impress.co.jp/article/2004/01/14/securityfixmonthly.html
(竹元 克己)