Windows 2000 SP2上で動作する Mozilla 1.0 および Opera 6.03/6.04 にクロスサイト・スクリプティングのセキュリティ・ホールがあることが明らかになった。Eiji James Yoshida氏が8月4日に公表した。悪用されると,信頼できるFTPサイトの情報に偽の情報が埋め込まれたり,悪意があるスクリプトを,信頼できるFTPサイトから送り込まれたものとして実行したりする恐れがある。対策はJavaScriptを無効にすること。Mozillaの場合には,最新版Mozilla 1.1 Betaで修正されている。
MozillaやOperaなどのWebブラウザは,FTPクライアント機能も持つ。そのため,FTPサイトへアクセスすれば,ファイル一覧を表示し,ユーザーが表示されたファイル名をクリックすれば,FTPでファイルをダウンロードできる。今回のセキュリティ・ホールは,MozillaおよびOperaがFTPクライアントとして動作する際の,画面表示機能(FTP View機能)の不具合が原因である。
具体的には,FTP View画面のタイトルを指定する <title>タグに含まれる内容(<title>と</title>の間の内容)をチェックしないことが原因である。この部分にHTMLやスクリプトが記述されていると,MozillaやOperaはそのまま解釈する。
そこで,悪意があるユーザーが,あるFTPサイトのURLと<title>タグおよびHTML,スクリプトを組み合わせたリンクを用意して,ユーザーにクリックさせれば,そのFTPサイトから送られてきたものとして,HTMLやスクリプトを解釈してしまうことになる。
これを悪用すれば,信頼できるFTPサイトの表示画面中に偽の内容を挿入し,悪意があるファイルをダウンロードさせることなどが可能になる。Yoshida氏は,同氏が運営するWebサイト「penetration technique research site」で,デモ用のリンクを用意している。
JavaScriptを送り込むこともできるので,Cookieを使ったサービスを提供しているWebサーバーと同じアドレスで,FTPサーバーが運用されている場合には,Cookieを取得されたり,改ざんされたりする恐れもある。ただし,Operaの場合にはCookieの改ざんはできないという。
対策はJavaScriptを無効にすること。なお Mozilla では既に最新版(Mozilla 1.1 Beta)で修正されているので,バージョン・アップでも回避できる。
◎参考資料
◆Mozilla FTP View Cross-Site Scripting Vulnerability
◆Opera FTP View Cross-Site Scripting Vulnerability
(勝村 幸博=IT Pro)