memo

「Microsoft Edge」と「Safari」に存在するアドレスバー偽装（スプーフィング）の脆弱性が、9月10日に発表された。セキュリティ研究者のRafay Baloch氏が、自身のブログで実証している。
　同氏によると、「Microsoft Edge」と「Safari」はWebページの読み込みがまだ完了していない内にJavaScriptでアドレスバーを更新可能。“https://www.gmail.com:8080”など、存在しないポートからリソースを読み込んでいる間に、“setInterval”関数などを用いてスプーフィングを実行すると、“www.gmail.com:8080”というURLをアドレスバーに保持したたまま、別のURLのコンテンツを読み込むことができるという。「Safari」はページの読み込み中に入力ボックスを利用できないが、偽のキーボードを注入することで制限を回避して攻撃を成立させることができる。URLが偽装されると、ユーザーはそれが意図して開いたWebページであるかを確認する術を失ってしまう。

「Edge」と「Safari」にアドレスバー偽装の脆弱性 ～「Edge」はすでに修正済み - 窓の杜