Firefox 3.0.5 にステータスバーを偽装できる欠陥

セキュリティホールmemo で発見。
Firefoxに
ステータスバーを偽装できる欠陥が見つかったとの報告があったようです。(実証コード付き)

 一見なんの問題もないように見えますが、実証コード中にあるリンクをクリックすると、 脆弱性情報を掲載されたサイトのトップページ (要するにリンクはGoogleだけど違うページが表示される..ということです) が表示されてしまいます。
ファイルをローカルで閲覧した場合は Google のページが表示されますが、Webサーバ上にアップロードしたページを表示させると再現するようです。

脆弱性(欠陥)の確認方法:
Web サーバは IIS7 を使い、実証コードをHTML文書にしたものを配置して、Vista SP1上でそれぞれのブラウザでアクセスして、実証コード中のリンクをクリックして確認しました。

各ブラウザの可否状況:
Opera 9.6.3

この問題は影響ありません。

IE7
この問題は影響ありません。

Safari 3.2.1
Firefox 同様、問題が再現します
Chrome
Firefox 同様、問題が再現します
(情報提供:瑠奈さん。ありがとうございます。)
SeaMonkey 1.1.14
Firefox 同様、問題が再現します

[1/24追加]
Camino 1.6.6

Firefox 同様、問題が再現します
IE6 SP1 (on Windows2000)
この問題は影響ありません。
IE8 beta (on Windows7 beta)
この問題は影響ありません。
PSPインターネットブラウザ
この問題は影響ありません。

問題が再現するブラウザを利用されている方は十分注意してください。

1. 不信なリンク はクリックしないでください。
2. 問題が再現するブラウザを利用される場合は JavaScript をオフにし、最新版がリリースされ次第更新してください
 Mozilla 系のブラウザでは NoScript を使い、信頼するサイトでのみ JavaScript を実行するようにすることで回避できます。(ただし、信頼するサイトが改ざんされていた場合は回避できません。回避策は追記参照)
3. 最新版に更新後、同様の脆弱性がされないかどうか確認してください。

[追記]

この問題は回避方法があります。
Firefox ではリンクをクリックした場合は別のサイトが表示されてしまいますが、
新規ウインドウ」、もしくは「新しいタブで開く」と、正しいサイト(Google) が表示されます。

[1/24追記]
この問題を悪用するパターンとしては、以下のようなケースが考えられます。
・Spam に含まれるサイトのリンク先として使われる
・悪意あるユーザによって不正なリンクを貼られる
・リンク先を偽って、アフェリエイト広告のリンクを設定したサイトを貼られる

広告
カテゴリー: セキュリティ パーマリンク

Firefox 3.0.5 にステータスバーを偽装できる欠陥 への1件のフィードバック

  1. 瑠奈 より:

    なるほど・・・NoScriptはめんどうなので入れてないです・・・

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中