PR

 デンマークSecuniaなどは現地時間3月14日,FirefoxやMozilla Suite,Thunderbirdに見つかった弱点を公表した。WebページやHTMLメールに細工を施されると,スクリプトを使わずにステータス・バーの表示を偽装される。その結果,危険なファイルを安全なファイルだと誤解してダウンロードする恐れがある。

 最新版のFirefox 1.01/Mozilla 1.7.5/Thunderbird 1.0でこの弱点が確認されている。対策は,ステータス・バーの表示にかかわらず,信頼できないサイトからはファイルをダウンロードしないこと。

 今回の弱点は,実際のリンク先とは異なるURLをステータス・バーに表示してしまうというもの。スクリプトを使わずに,テーブル・タグだけで細工を施せることが特徴である。

 写真右上(拡大表示)は,セキュリティ・ベンダー仏K-OTik Securityが公開するデモ・ファイルをFirefox 1.01で表示させたもの。リンクにマウス・カーソルをあてると,ステータス・バーには,リンク先のURLが「http://www.mozilla.org/features_ff102.pdf」と表示される。

 しかし,このリンクにマウス・カーソルをあてて,右クリックから「リンク先を名前を付けて保存」を選択すると,ステータス・バーの表示とは異なる「http://www.tpc.org/tpch/spec/tpch2.1.0.pdf」がダウンロードされる(写真右,拡大表示)。

 ただし,この偽装が“有効”なのは,ユーザーが「リンク先を名前を付けて保存」を選択した場合だけ。リンクを左クリックすると,Firefoxなどはステータス・バーの表示どおりに「http://www.mozilla.org/features_ff102.pdf」にアクセスする。

 Firefox/Mozilla/Thunderbirdのいずれでも,修正版は公開されていない。ユーザーの心がけ――信頼できないサイトからはファイルをダウンロードしない――で回避しよう。

 なお,今回と同様の弱点は,2004年11月にInternet ExplorerとOutlook Expressにも見つかっている関連記事)。これらは,現在でも解消されていない。

◎参考資料
Firefox "Save Link As..." Status Bar Spoofing Weakness(デンマークSecunia)
Mozilla "Save Link Target As..." Status Bar Spoofing Weakness
Thunderbird "Save Link Target As..." Status Bar Spoofing Weakness
Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing
Mozilla Suite/Firefox/Thunderbird Status Bar Spoofing Vulnerability(仏K-OTik Security

(勝村 幸博=IT Pro)