デンマークSecuniaは現地時間12月13日,Webブラウザ「Opera」のバージョン8.01以前(8.01を含む)には,ダイアログ・ボックスを偽装できるセキュリティ・ホールが存在することを明らかにした。バージョン8.02以降では修正されている。同様のセキュリティ・ホールはInternet Explorer(IE)にも見つかっており,修正パッチが12月14日に公開された(関連記事)。
今回のセキュリティ・ホールは,ファイルのダウンロード時に表示されるダイアログ・ボックス(ダウンロード・ダイアログ・ボックス)に関するもの。Operaが表示するダイアログ・ボックス上に別のウインドウを表示させてユーザーをだまし,ダイアログの「開く(Open)」ボタンを押させることが可能になるという。その結果,悪質なプログラム(ウイルスなど)を意図せずに実行させられる恐れがある。
IEにも同様のセキュリティ・ホールが存在することが12月14日,マイクロソフトから明らかにされている。「Internet Explorer用の累積的なセキュリティ更新プログラム (905915) (MS05-054)」に含まれる「ファイルのダウンロード ダイアログ ボックスの操作に関する脆弱性 - CAN-2005-2829」が,このセキュリティ・ホールに該当する。同日公開された「MS05-054」の修正パッチを適用すれば解消できる。
Operaについてはバージョン8.02で修正されている。このため,8.02以降にバージョンアップすることが対策となる。
◎参考資料
◆Opera Suppressed "Download Dialog" File Execution Vulnerability
