デンマークのSecuniaは7月1日,MozillaやOpera,NetscapeなどのWebブラウザに見つかったセキュリティ・ホールを公表した。6月末に公表したInternet Explorer(IE)のセキュリティ・ホールと同じもの(関連記事)。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。“フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールなので十分注意したい(関連記事)。
Secuniaは,以下のブラウザに今回のセキュリティ・ホールがあることを確認している(IEに関する同様のセキュリティ・ホールについては,6月30日に公表している)。
- Opera 7.51 for Windows
- Opera 7.50 for Linux
- Mozilla 1.6 for Windows
- Mozilla 1.6 for Linux
- Mozilla Firebird 0.7 for Linux
- Mozilla Firefox 0.8 for Windows
- Netscape 7.1 for Windows
- Internet Explorer for Mac 5.2.3
- Safari 1.2.2
- Konqueror 3.1-15redhat
同社では,それぞれほかのバージョンも影響を受けるだろうとしている。
影響を受けないことを確認しているのは,以下のブラウザである。
- Mozilla Firefox 0.9 for Windows
- Mozilla Firefox 0.9.1 for Windows
- Mozilla 1.7 for Windows
- Mozilla 1.7 for Linux
Secuniaでは,今回のセキュリティ・ホールの有無を確認するためのデモ・ページを用意している。写真は,Opera 7.23 for Windows日本語版でデモを表示させたもの(写真の拡大表示)。Secuniaのページが,米Microsoftのページの一部に見える。
このセキュリティ・ホールを悪用すれば,Webページを容易に偽装できる。例えば,個人情報を入力させて盗むようなページを,有名企業のWebページの一部に見せかけられる。そのためには,細工を施したWebページにユーザーを誘導する必要があるが,誘導に“成功”さえすれば,ユーザーがだまされる可能性は高い。
対策は,一般的なフィッシング対策と同じで,とにかく「怪しいページにアクセスしない/怪しいリンクをクリックしない」こと。細工を施したページにアクセスしなければ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されることはない。個人情報を入力するようなページには,リンクをたどってアクセスするのではなく,自分でアドレス・バーにURLを入力してアクセスするようにしたい。
◎参考資料
◆Multiple Browsers Frame Injection Vulnerability(Secunia)
(勝村 幸博=IT Pro)
