編集部からのお知らせ
PickUp! オンラインストレージの進化と課題
HCIの記事をまとめた資料ダウンロード

MozillaやFirefoxにサイトの偽装を許す脆弱性が復活--セキュリティ企業が警告

Joris Evers(CNET News.com)

2005-06-07 13:10

 7年前から知られている脆弱性が、最新のFirefoxブラウザにも存在していることが判明したと、Secuniaが警告を発した。この脆弱性を悪用すると、攻撃者は、第三者が運営するウェブサイト上に悪質なコンテンツを表示させることができてしまう。

 この脆弱性は、単一のブラウザウインドウを複数に区切ってそれぞれに別々の内容を表示させる際の、フレーム処理に関連するもの。Firefoxだけでなく、Mozilla Foundationが開発するほかのブラウザも同脆弱性の影響を受ける。Secuniaが米国時間6日に出した勧告によると、これらのアプリケーションは、フレームを使っているウェブコンテンツを表示する際に、すべてのフレームが同じウェブサイトのものかをチェックしていないという。Secuniaは、Firefox 1.x、Mozilla 1.7.x、Camino 0.xの各バージョンにこの脆弱性が存在すると述べる。

 Secuniaによると、この脆弱性を悪用すると、攻撃者は任意のウェブサイトのフレーム内に、他のサイトのコンテンツを表示させることができてしまうという。攻撃者はこれを利用して、オンライン銀行に口座を開設している人から個人情報を盗み出したり、ユーザーに悪質なプログラムをダウンロードさせたりすることが可能である。Secuniaはこの脆弱性を「やや深刻」と評価している。

 Secuniaは2004年7月にも、Mozillaブラウザに同様の脆弱性が存在すると、警告を発していた。しかし当時、最新バージョンのアプリケーションでは、この脆弱性は修正され、存在しなかった。

 ユーザーは、攻撃者のウェブサイトと、信頼できるウェブサイトをそれぞれ別々のウィンドウで表示している場合に、この脆弱性の影響を受ける。この状況下で、ユーザーが悪質なサイト上のリンクをクリックすると、攻撃者の用意したコンテンツが、信頼できるサイトのフレーム内に表示されてしまうと、Secuniaは説明する。同社は、信頼できるサイトとそうでないサイトを同時に訪問しないよう勧告している。

 Mozilla Foundationの関係者によると、MozillaはSecuniaのレポートを調査しているところだという。

 この脆弱性が悪用されたケースはまだ報告されていないと、あるモデレータは、Mozillaウェブサイトのサポート掲示板に6日付けで書き込んでいる。

 このモデレータは、個人データの入力が必要な銀行やオンラインストアのサイトにアクセスするときは、念のため他のウインドウやタブをすべて閉じるよう勧告している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]