きゃらりこ日誌

./J（スラッシュドットジャパン）をさまよっていたら「EZwebのブラウザに不正なReferer送出を行う不具合」というトピックスが立っていました。

「リンク選択」しない場合においても、以下の特定の操作を行うと、現在閲覧中のホームページのURLが次に閲覧するホームページへ送出される事象が発見されています。
【ホームページURLが送出される特定の操作】 ((注1) 特定の操作)
お気に入りに登録されたホームページ、またはEメール本文中などに記載されたホームページへジャンプした後に、そのホームページにてブラウザメニューから「ページ更新」を行う操作

auからのお知らせ　au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について
　→ http://www.au.kddi.com/news/topics/au_topics_index20051209.html

アクセスログを見ていると、auの携帯電話で、まれに私のサイトへのリンクを張られていないサイトから、リンクで飛んでくる人がいたのですが、これが原因だったようです。
JVN^※にも脆弱性として報告されていました。
私の所有しているW21CAIIも対象機種でしたので、さっそく昨日、auショップでプログラムの書き換えをしてきました。
書き換えは15分で終わりましたが、引渡しやら何やらで約20分かかりました。

ブラウザのバージョンは、Mobile Browser 6.2.0.7.3.129 (KDDI-CA31) Universal editionから、Mobile Browser 6.2.0.7.3.a.1 (KDDI-CA31) Universal editionに変わってました。
しかしリファラのほうは、KDDI-CA31 UP.Browser/6.2.0.7.3.129 (GUI) MMP/2.0のまま。
あれれ？

※JVN（JP Vendor Status Notes）：日本のセキュリティ情報サイトのひとつ。
有限責任中間法人 JPCERTコーディネーションセンターと、独立行政法人 情報処理推進機構が運営。