マイクロソフトのJavaVMにセキュリティホール。プロクシを設定していると通信が筒抜けになる、と

【 国内記事】

2002年3月5日更新

　マイクロソフトは4日、同社の「Microsoft VM（Javaバーチャルマシン）」に、情報漏洩を引き起こすセキュリティホールがあると発表した。IEでプロクシを設定している場合に、ブラウザの通信が任意のアドレスにリダイレクト（回送）されてしまうというもの。このセキュリティホールは、使用しているプロクシサーバの種類には関係なく影響する。

　いったん通信がリダイレクトされはじめると、ユーザがブラウザからおこなった操作がすべて攻撃者に筒抜けになり、名前やクレジットカード番号などを盗まれることになる。このリダイレクトは、ユーザがブラウザを終了するまで継続する。ただし、SSLによって暗号化されているHTTPSであれば、解読されない限り、リダイレクトされても読まれるおそれはない。また、プロクシを使用しない設定の場合には、このセキュリティホールの影響を受けない。

　このセキュリティホールは、ビルド3805よりも前のMicrosoft VMが抱えており、現在は対策済のMicrosoft VM「ビルド3805」が配布されている。

関連リンク
マイクロソフト