デンマークSecuniaは6月21日(現地時間),IEやFirefox,Operaなど複数のWebブラウザに,ダイアログ・ボックスの発行元を偽装されるセキュリティ・ホールが存在することを公表した。ダイアログ・ボックスに入力したIDやパスワードなどのデータが,別のサイトに送信されてしまうなど,フィッシングに悪用される可能性がある。危険度は小(less critical)。対策は,信用できないサイトを閲覧しないことなど。

 このセキュリティ・ホールは,以下のような手順で悪用される。(1)ユーザーが悪意のあるサイトを閲覧する。(2)悪意のあるサイトにあるリンク(例えばgoogle.com)をクリックして移動する。(2)リンク先のサイト(例えばgoogle.com)の画面上に現れたダイアログ・ボックスにユーザーがデータを入力すると,そのデータは悪意のあるサイトに送信されてしまう。

 以上のような悪用例のデモが,Secuniaのサイトで公表されている。

 Secuniaによる,影響を受けるブラウザは以下のとおり。Opera 7.xと8.0,Internet Explorer 5.x for Mac,Internet Explorer 6.x,iCab 2.x,Safari 1.x,Mozilla 1.7.x,Mozilla Firefox 0.x,Mozilla Firefox 1.x,Camino 0.xが影響を受ける。Operaは最新版の8.01では修正されている。他のブラウザは,6月21日時点でパッチは提供されていない。

(高橋 信頼=IT Pro)

◎参考資料
Multiple browsers are vulnerable to the Dialog Origin Spoofing Vulnerability(Secunia)