デンマークSecuniaは7月27日,Webブラウザ「Opera 7.x for Windows」に見つかったセキュリティ・ホールを公開した。細工が施されたWebページにアクセスすると,表示させているページとは異なるアドレスがアドレス・バーに表示される。“フィッシング”などのオンライン詐欺に悪用可能なセキュリティ・ホールである。十分注意したい。
Operaには,今回のようなセキュリティ・ホールが相次いで見つかっている。開発元のノルウェーOpera Softwareでは,そのたびに修正版を公開して対応している。例えば,7月8日に公表されたセキュリティ・ホールは,7月20日に公開されたOpera 7.53 for Windowsで修正されている(関連記事)。しかしながら,今回公開されたセキュリティ・ホールは,最新版のOpera 7.53も影響を受ける。
セキュリティ・ホールの発見者はbitlance winter氏。今までにも,同氏はOperaに関するセキュリティ・ホールをいくつか見つけている。Secuniaでは,同氏がセキュリティ関連のメーリング・リストに投稿した内容を検証した上で,同社のWebサイトで公表した。
今回のセキュリティ・ホールは,Operaがアドレス・バーを適切に更新できないことが原因。あるWebページがwindow.open()関数で開かれた後,location.replace()関数で別のページに置き換えられると,コンテンツは置き換えられるものの,アドレス・バーの表示は最初に開かれたページのままで更新されない。
写真は,bitlance winter氏が公開したデモを改変して,IT ProのページにOpera Softwareのアドレスを表示させたもの(写真の拡大表示)。
細工が施されたページにアクセスしなければ,セキュリティ・ホールを突かれることはない。このため,怪しいページにアクセスしないことが対策となる。Webページやメールに記載されたリンクを安易にクリックしてはいけない。
現在のところ修正版は公開されていないが,今までのOpera Softwareの対応を見ると,近日中に修正版が公開されるものと考えられる。最新版は英語版から公開されるものの,英語版でも日本語ページを問題なく閲覧できるので,できるだけ最新版を利用したい。
◎参考資料
◆Opera Browser Address Bar Spoofing Vulnerability(Secunia)
◆Opera 7.53 for Windows Changelog(Opera Software)
(勝村 幸博=IT Pro)
