「Edge」と「Safari」にアドレスバー偽装の脆弱性 ～「Edge」はすでに修正済み

セキュリティ研究者のRafay Baloch氏のブログ

　「Microsoft Edge」と「Safari」に存在するアドレスバー偽装（スプーフィング）の脆弱性が、9月10日に発表された。セキュリティ研究者のRafay Baloch氏が、自身のブログで実証している。

　同氏によると、「Microsoft Edge」と「Safari」はWebページの読み込みがまだ完了していない内にJavaScriptでアドレスバーを更新可能。“https://www.gmail.com:8080”など、存在しないポートからリソースを読み込んでいる間に、“setInterval”関数などを用いてスプーフィングを実行すると、“www.gmail.com:8080”というURLをアドレスバーに保持したたまま、別のURLのコンテンツを読み込むことができるという。「Safari」はページの読み込み中に入力ボックスを利用できないが、偽のキーボードを注入することで制限を回避して攻撃を成立させることができる。URLが偽装されると、ユーザーはそれが意図して開いたWebページであるかを確認する術を失ってしまう。

　本脆弱性は、6月2日にMicrosoftとAppleに報告され、情報の開示までに90日間の猶予が与えられた。「Microsoft Edge」では8月の月例セキュリティ更新プログラムで修正されている（CVE-2018-8383）。「Safari」は猶予が過ぎても修正されていないが、今後のアップデートで修正される見込みだ。