PR

 デンマークのSecuniaは7月1日,MozillaやOpera,NetscapeなどのWebブラウザに見つかったセキュリティ・ホールを公表した。6月末に公表したInternet Explorer(IE)のセキュリティ・ホールと同じもの(関連記事)。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。“フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールなので十分注意したい(関連記事)。

 Secuniaは,以下のブラウザに今回のセキュリティ・ホールがあることを確認している(IEに関する同様のセキュリティ・ホールについては,6月30日に公表している)。

  • Opera 7.51 for Windows
  • Opera 7.50 for Linux
  • Mozilla 1.6 for Windows
  • Mozilla 1.6 for Linux
  • Mozilla Firebird 0.7 for Linux
  • Mozilla Firefox 0.8 for Windows
  • Netscape 7.1 for Windows
  • Internet Explorer for Mac 5.2.3
  • Safari 1.2.2
  • Konqueror 3.1-15redhat

 同社では,それぞれほかのバージョンも影響を受けるだろうとしている。

 影響を受けないことを確認しているのは,以下のブラウザである。

  • Mozilla Firefox 0.9 for Windows
  • Mozilla Firefox 0.9.1 for Windows
  • Mozilla 1.7 for Windows
  • Mozilla 1.7 for Linux

 Secuniaでは,今回のセキュリティ・ホールの有無を確認するためのデモ・ページを用意している。写真は,Opera 7.23 for Windows日本語版でデモを表示させたもの(写真の拡大表示)。Secuniaのページが,米Microsoftのページの一部に見える。

 このセキュリティ・ホールを悪用すれば,Webページを容易に偽装できる。例えば,個人情報を入力させて盗むようなページを,有名企業のWebページの一部に見せかけられる。そのためには,細工を施したWebページにユーザーを誘導する必要があるが,誘導に“成功”さえすれば,ユーザーがだまされる可能性は高い。

 対策は,一般的なフィッシング対策と同じで,とにかく「怪しいページにアクセスしない/怪しいリンクをクリックしない」こと。細工を施したページにアクセスしなければ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されることはない。個人情報を入力するようなページには,リンクをたどってアクセスするのではなく,自分でアドレス・バーにURLを入力してアクセスするようにしたい。

◎参考資料
Multiple Browsers Frame Injection Vulnerability(Secunia)

(勝村 幸博=IT Pro)