■ MozillaやOperaなどにも,フレーム中に任意のコンテンツを表示させられるセキュリティ・ホール [日経BP IT Pro]
デンマークのSecuniaは7月1日,MozillaやOpera,NetscapeなどのWebブラウザに見つかったセキュリティ・ホールを公表した。
http://secunia.com/advisories/11978/
6月末に公表したInternet Explorer(IE)のセキュリティ・ホールと同じもの。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040630/146625/
Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。“フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールなので十分注意したい。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040701/146675/
Secuniaは,以下のブラウザに今回のセキュリティ・ホールがあることを確認している(IEに関する同様のセキュリティ・ホールについては,6月30日に公表している)。
http://secunia.com/advisories/11966/
Opera 7.51 for Windows
Opera 7.50 for Linux
Mozilla 1.6 for Windows
Mozilla 1.6 for Linux
Mozilla Firebird 0.7 for Linux
Mozilla Firefox 0.8 for Windows
Netscape 7.1 for Windows
Internet Explorer for Mac 5.2.3
Safari 1.2.2
Konqueror 3.1-15redhat
同社では,それぞれほかのバージョンも影響を受けるだろうとしている。
影響を受けないことを確認しているのは,以下のブラウザである。
Mozilla Firefox 0.9 for Windows
Mozilla Firefox 0.9.1 for Windows
Mozilla 1.7 for Windows
Mozilla 1.7 for Linux
Secuniaでは,今回のセキュリティ・ホールの有無を確認するためのデモ・ページを用意している。
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
このセキュリティ・ホールを悪用すれば,Webページを容易に偽装できる。例えば,個人情報を入力させて盗むようなページを,有名企業のWebページの一部に見せかけられる。そのためには,細工を施したWebページにユーザーを誘導する必要があるが,誘導に“成功”さえすれば,ユーザーがだまされる可能性は高い。
対策は,一般的なフィッシング対策と同じで,とにかく「怪しいページにアクセスしない/怪しいリンクをクリックしない」こと。細工を施したページにアクセスしなければ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されることはない。個人情報を入力するようなページには,リンクをたどってアクセスするのではなく,自分でアドレス・バーにURLを入力してアクセスするようにしたい。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040702/146756/
デンマークのSecuniaは7月1日,MozillaやOpera,NetscapeなどのWebブラウザに見つかったセキュリティ・ホールを公表した。
http://secunia.com/advisories/11978/
6月末に公表したInternet Explorer(IE)のセキュリティ・ホールと同じもの。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040630/146625/
Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。“フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールなので十分注意したい。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040701/146675/
Secuniaは,以下のブラウザに今回のセキュリティ・ホールがあることを確認している(IEに関する同様のセキュリティ・ホールについては,6月30日に公表している)。
http://secunia.com/advisories/11966/
Opera 7.51 for Windows
Opera 7.50 for Linux
Mozilla 1.6 for Windows
Mozilla 1.6 for Linux
Mozilla Firebird 0.7 for Linux
Mozilla Firefox 0.8 for Windows
Netscape 7.1 for Windows
Internet Explorer for Mac 5.2.3
Safari 1.2.2
Konqueror 3.1-15redhat
同社では,それぞれほかのバージョンも影響を受けるだろうとしている。
影響を受けないことを確認しているのは,以下のブラウザである。
Mozilla Firefox 0.9 for Windows
Mozilla Firefox 0.9.1 for Windows
Mozilla 1.7 for Windows
Mozilla 1.7 for Linux
Secuniaでは,今回のセキュリティ・ホールの有無を確認するためのデモ・ページを用意している。
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
このセキュリティ・ホールを悪用すれば,Webページを容易に偽装できる。例えば,個人情報を入力させて盗むようなページを,有名企業のWebページの一部に見せかけられる。そのためには,細工を施したWebページにユーザーを誘導する必要があるが,誘導に“成功”さえすれば,ユーザーがだまされる可能性は高い。
対策は,一般的なフィッシング対策と同じで,とにかく「怪しいページにアクセスしない/怪しいリンクをクリックしない」こと。細工を施したページにアクセスしなければ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されることはない。個人情報を入力するようなページには,リンクをたどってアクセスするのではなく,自分でアドレス・バーにURLを入力してアクセスするようにしたい。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040702/146756/
コメント