 |
デンマークSecuniaは現地時間6月6日,Webブラウザ「Firefox 1.x」とスイート・ソフト「Mozilla Suite(Mozilla)1.7.x」に見つかったセキュリティ・ホールを公表した。フレームを使っている任意のWebコンテンツ中に,別サイトの任意のコンテンツを表示させることが可能となる(写真)。今回のセキュリティ・ホールは,Firefox 0.8およびMozilla 1.6以前でも見つかっている(関連記事)。その後,Firefox 0.9およびMozilla 1.7で修正されたが,最近のバージョンで“復活”してしまった。
今回のセキュリティ・ホールについては,最新版のFirefox 1.0.4およびMozilla 1.7.8も影響を受けることが確認されている。写真は,Secuniaが2004年7月に公開したデモ・ページを日本語版Firefox 1.0.4で表示させたもの(拡大表示)。Secuniaのページが,米MicrosoftのMSDN(Microsoft Developer Network)ページの一部に見える。このデモ・ページで分かるように,今回のセキュリティ・ホールを悪用すれば,例えばフィッシング目的のコンテンツを,正当なサイトのページ中に表示できてしまう。
対策は,信頼できないサイトへアクセスしないこと。今回のセキュリティ・ホールを悪用するには,まず最初に,細工を施したページへユーザーを誘導する必要がある。「信頼できないサイトへはアクセスしない」「信頼できないページやメール中のリンクをクリックしない」といったセキュリティのセオリーを守ることで回避したい。
なお今回のセキュリティ・ホールは,Internet Explorer(IE)やOpera,Netscapeといった複数のブラウザに見つかっている(関連記事)。その後,例えばOperaはバージョン 7.52で,Netscapeはバージョン 7.2で修正された。冒頭で書いたように,FirefoxとMozillaも修正されたものの,最近のバージョンで再び確認された。IEについては,修正パッチなどが提供されないまま現在に至っている。
◎参考資料
◆Mozilla / Mozilla Firefox Frame Injection Vulnerability
◆Multiple Browsers Frame Injection Vulnerability Test
(勝村 幸博=IT Pro)
