デンマークSecuniaなどは現地時間3月14日,FirefoxやMozilla Suite,Thunderbirdに見つかった弱点を公表した。WebページやHTMLメールに細工を施されると,スクリプトを使わずにステータス・バーの表示を偽装される。その結果,危険なファイルを安全なファイルだと誤解してダウンロードする恐れがある。
最新版のFirefox 1.01/Mozilla 1.7.5/Thunderbird 1.0でこの弱点が確認されている。対策は,ステータス・バーの表示にかかわらず,信頼できないサイトからはファイルをダウンロードしないこと。
今回の弱点は,実際のリンク先とは異なるURLをステータス・バーに表示してしまうというもの。スクリプトを使わずに,テーブル・タグだけで細工を施せることが特徴である。
写真右上(拡大表示)は,セキュリティ・ベンダー仏K-OTik Securityが公開するデモ・ファイルをFirefox 1.01で表示させたもの。リンクにマウス・カーソルをあてると,ステータス・バーには,リンク先のURLが「http://www.mozilla.org/features_ff102.pdf」と表示される。
しかし,このリンクにマウス・カーソルをあてて,右クリックから「リンク先を名前を付けて保存」を選択すると,ステータス・バーの表示とは異なる「http://www.tpc.org/tpch/spec/tpch2.1.0.pdf」がダウンロードされる(写真右,拡大表示)。
ただし,この偽装が“有効”なのは,ユーザーが「リンク先を名前を付けて保存」を選択した場合だけ。リンクを左クリックすると,Firefoxなどはステータス・バーの表示どおりに「http://www.mozilla.org/features_ff102.pdf」にアクセスする。
Firefox/Mozilla/Thunderbirdのいずれでも,修正版は公開されていない。ユーザーの心がけ――信頼できないサイトからはファイルをダウンロードしない――で回避しよう。
なお,今回と同様の弱点は,2004年11月にInternet ExplorerとOutlook Expressにも見つかっている(関連記事)。これらは,現在でも解消されていない。
◎参考資料
◆Firefox "Save Link As..." Status Bar Spoofing Weakness(デンマークSecunia)
◆Mozilla "Save Link Target As..." Status Bar Spoofing Weakness
◆Thunderbird "Save Link Target As..." Status Bar Spoofing Weakness
◆Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing
◆Mozilla Suite/Firefox/Thunderbird Status Bar Spoofing Vulnerability(仏K-OTik Security
(勝村 幸博=IT Pro)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
