 |
デンマークSecuniaなどは7月8日,Webブラウザ「Opera」に新たに見つかった,アドレス・バーを偽装できるセキュリティ・ホールを公表した。細工が施されたWebページにアクセスすると,表示しているページとは異なるURLをアドレス・バーに表示させられる。最近見つかったセキュリティ・ホールを修正した最新版Opera 7.52も影響を受けるので要注意。対策は,JavaScriptを無効にすることなど。
以前にも,Operaにはアドレス・バーを偽装できるセキュリティ・ホールが見つかっている(関連記事1,関連記事2,関連記事3)。ただし,いずれも最新版のOpera 7.52では修正されている。加えてOpera 7.52では,フレーム中に任意のコンテンツを表示させられるセキュリティ・ホールも修正された(関連記事)。
しかし,今回公開されたセキュリティ・ホールは,Opera 7.52も影響を受ける。Secuniaでは,Opera 7.x/6.x/5.xのすべてが影響を受けるとしている。
写真は,セキュリティ・ホールの発見者である「bitlance winter」がセキュリティ関連のメーリング・リストに投稿したデモを,Opera 7.52 for Windowsで表示させたもの。Opera Softwareのページ(http://www.opera.com/)が表示されているにもかかわらず,アドレス・バーにはMicrosoftのアドレスが表示されている(デモ・ページ全体を表示)。
Secuniaでは,対策として「JavaScriptを無効にする」「信頼できるサイトのURLをアドレス・バーに直接入力する。信頼できないソース(Webページやメール)のリンクはクリックしない」――ことを挙げている。
今回のセキュリティ・ホールは,オンライン詐欺“フィッシング”に悪用可能である(関連記事)。これ以外にも,フィッシングに悪用可能なセキュリティ・ホールは複数見つかっている(関連記事)。十分注意してほしい。
◎参考資料
◆Opera Browser Address Bar Spoofing Vulnerability(Secunia)
◆Opera 7.52 for Windows Changelog(Opera Software)
◆Multiple Browser URI Obfuscation Weakness(Bugtraq)
◆Multiple Browsers Frame Injection Vulnerability(Secunia)
(勝村 幸博=IT Pro)
