Internet Explorer、アドレスバーに入力した内容をWebページが読み取れるバグ

Internet Explorer(IE)でユーザーがアドレスバーに入力した文字列をWebページから読み取れるというバグが発見された(Broken Browserの記事、Neowinの記事、Ars Technicaの記事、動画)。

このバグはobjectタグ内でスクリプトを実行する場合にドキュメントモードが「8」以前に設定されていると、最上位階層(window==top)のドキュメント内で実行していると認識されてしまうことによるものだ。そのため、metaタグで互換表示を指定し、objectタグで指定したWebドキュメント内でスクリプトを実行してlocation.hrefを読み取ると、アドレスバーで指定されているURLが返ってくる。

これだけでは攻撃者が取得できるのは自分のWebページのURLだが、window.onbeforeunloadイベントでobjectを注入すると遷移先のURLが取得できる。つまり、被害者が攻撃者のWebページを表示した状態でアドレスバーからWeb検索を実行すると、検索語句を含むサーチエンジンのURLを取得可能となる。IE 11の最新版に追加されている検索ボックスからの検索でも結果は同じだ。また、URLをアドレスボックスに直接入力した場合や、お気に入りの項目を開いた場合にも指定先のURLを取得できる。

PoCでは遷移先のURLを表示し、遷移を中断させるようになっている。ただし、そのまま遷移してしまうこともあるようだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネットエクスプローラ | バグ | プライバシ

　関連ストーリー：
9月の月例更新でInternet Explorerの検索ボックスが復活 2017年09月16日
Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 2017年05月18日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日