WPAD の脆弱性
2007年12月27日(木曜日)
WPAD の脆弱性
Webプロキシ自動発見(WPAD)の脆弱性に関する注意喚起と予約ドメイン名の追加指定について (jprs.jp)
IE の「LAN の設定」の中に「設定を自動的に検出する」というオプションがありますが、これが有効の場合、"wpad" とつくサブドメインから設定をダウンロードとようとします。そして、たとえば wpad.example.co.jp が見つからない場合、次に wpad.co.jp を探しに行ってしまうので、wapd.co.jp に悪意ある設定ファイルが置かれていると、任意のプロキシサーバを使わされてしまうことになります。
……という話を受けて、wpad.co.jp などが取得できないようにしたという話ですね。
しかし考えてみると、イントラ内で任意のユーザが自由にサブドメインを取得できたりする環境だとマズイということですよね。まあ、不用意に自動検出を有効にしたりしなければ良いという話ではあるのですが。
- 「WPAD の脆弱性」にコメントを書く
関連する話題: セキュリティ / Internet Explorer / DNS