デンマークSecuniaは6月21日(現地時間),IEやFirefox,Operaなど複数のWebブラウザに,ダイアログ・ボックスの発行元を偽装されるセキュリティ・ホールが存在することを公表した。ダイアログ・ボックスに入力したIDやパスワードなどのデータが,別のサイトに送信されてしまうなど,フィッシングに悪用される可能性がある。危険度は小(less critical)。対策は,信用できないサイトを閲覧しないことなど。
このセキュリティ・ホールは,以下のような手順で悪用される。(1)ユーザーが悪意のあるサイトを閲覧する。(2)悪意のあるサイトにあるリンク(例えばgoogle.com)をクリックして移動する。(2)リンク先のサイト(例えばgoogle.com)の画面上に現れたダイアログ・ボックスにユーザーがデータを入力すると,そのデータは悪意のあるサイトに送信されてしまう。
以上のような悪用例のデモが,Secuniaのサイトで公表されている。
Secuniaによる,影響を受けるブラウザは以下のとおり。Opera 7.xと8.0,Internet Explorer 5.x for Mac,Internet Explorer 6.x,iCab 2.x,Safari 1.x,Mozilla 1.7.x,Mozilla Firefox 0.x,Mozilla Firefox 1.x,Camino 0.xが影響を受ける。Operaは最新版の8.01では修正されている。他のブラウザは,6月21日時点でパッチは提供されていない。
◎参考資料
◆Multiple browsers are vulnerable to the Dialog Origin Spoofing Vulnerability(Secunia)