現在地 HOME > 掲示板
> IT6 > 642.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 642.html
★阿修羅♪
|
|
| Tweet |
MozillaやOperaなどのタブ・ブラウザになりすましを許すセキュリティ・ホール【IT_Pro】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041021/151545/
デンマークSecuniaは現地時間10月20日,MozillaやOperaなどのタブ・ブラウザに,スプーフィング(なりすまし)を許すセキュリティ・ホールがあることを公表した。実在する企業などのWebページ上に,悪意があるページからのダイアログ・ボックスなどを表示させることができる。つまり,悪意があるダイアログ・ボックスを,その企業のページが表示したダイアログ・ボックスに見せかけることができる。
影響を受けるのは,Mozilla 1.7.3/Mozilla Firefox 0.10.1,Camino 0.8,Opera 7.54,Konqueror 3.2.2-6,Netscape 7.2,Avant Browser 9.02(build 101)/10.0(build 029),Maxthon (MyIE2) 1.1.039。これら以前のバージョンも影響を受ける可能性が高い。対策は,JavaScriptを無効にすることや,信頼できないWebページやメール中のリンクから誘導されたサイトを信用しないこと。
Secuniaでは,影響を受けるかどうか検証するためのデモ・ページを用意している。デモ・ページ中のリンクを新しいタブで開く。すると,米Citibankのページが表示される。そのページの上には,ダイアログ・ボックスがJavaScriptで表示される(写真上,[拡大表示])。
一見,Citibankのページが表示したダイアログ・ボックスのようだが,実はデモ・ページが表示したもの。そのダイアログ・ボックス中に入力したテキストは,デモ・ページ中に表示される(写真右,[拡大表示])。
このセキュリティ・ホールを悪用すれば,個人情報などを盗んだり,悪意があるファイルをダウンロードさせたりすることが可能になるという。
同日Secuniaは,タブ・ブラウザが影響を受ける別のセキュリティ・ホールも公開した。アクティブになっているタブのページで入力した“つもり”のデータ(実際には,そのデータはアクティブになっているタブのページへは送られていない)を,アクティブになっていないタブのページへ送らせることができる。こちらについても,デモ・ページが用意されているので,興味のある方は試していただきたい。
後者のセキュリティ・ホールについては,影響を受けるのは,Mozilla 1.7.3/Mozilla Firefox 0.10.1,Netscape 7.2,Avant Browser 9.02(build 101)/10.0(build 029),Maxthon (MyIE2) 1.1.039。
いくつかの製品については,次期バージョンで対応する予定。それぞれの製品の対応状況については,Secuniaの情報を参照してほしい。
◎参考資料
◆Multiple Browsers Tabbed Browsing Vulnerabilities
◆Multiple Browsers Dialog Box Spoofing Test
◆Multiple Browsers Form Field Focus Test
(勝村 幸博=IT Pro)
題名には必ず「阿修羅さんへ」と記述してください。