Windows 2000 SP2で動作するMozilla 1.0,Opera 6.03/6.04のFTPクライアント機能にクロスサイト・スクリプティング(CSS)に対するぜい弱性があることが明らかになった。悪意のあるサイトにアクセスすると,不正なスクリプトを信頼できるサイトからのものとして実行してしまう危険性がある。また,悪意のあるサイト上の信頼できるサイトへのリンクをクリックすると,信頼できるサイトの画面として偽の画面を表示されてしまう危険があるため,騙されて不正なプログラムをダウンロードさせられたりしてしまう可能性がある。
セキュリティ情報サイト「penetration technique research site」を運営するEiji James Yoshida氏が2002年8月4日に公表したもので,Mozilla,OperaともにJavaScriptを無効にすれば回避できる。Mozillaは1.1 Betaを使うことでも回避できる。
今回公表されたぜい弱性はFTPクライアントの表示機能の問題。タイトルの表示に使われる「<title>URL</title>」の部分をチェックしていないためにURLに含まれたタグやスクリプトをそのまま実行してしまう。リンクなどに細工すれば,信頼できるサイトに偽の情報を埋め込んだり,任意のスクリプトを実行させたりすることが可能になる。Mozilla 1.0に関しては,前述したEiji James Yoshida氏のサイトで実際に試すことができる(Operaでもデモの画面写真を見ることが可能)。同様な問題はWindows 2000 SP2で動作するIE 5.5/6でも指摘されており,同じくEiji James Yoshida氏が2002年6月7日に公表している。
