MozillaZine.jp

Mozilla 関連情報の提供、啓蒙活動を行っているオンラインマガジン「MozillaZine」の日本語訳を提供しています。
リリース版 |    Firefox 82.0.1 ESR 78.4.0 Android 82.1.1 Focus 8.8.3 iOS 29.0 | Thunderbird 78.4.0 | SeaMonkey 2.53.4 |
プレビュー版 | Firefox Nightly Developer Edition Beta Android Nightly Beta | Thunderbird Nightly Beta | SeaMonkey Beta |
相互サポート | Firefox | Thunderbird | SeaMonkey | Lightning | Android | Firefox OS | iOS

URL バーのなりすまし脆弱性


Mozilla Security Blog から、7 月 28 日 (米国時間) にポストされた URL バーのなりすまし脆弱性 (原文 URL bar spoofing vulnerability) の翻訳をお届けする。

これは悪意を持つページ上に配置された悪質なコードを含むリンクをクリックすると、その URL が新規ウィンドウやタブで開かれるとなりすましが可能になる問題だ。現在、ブラウザがその URL が正規のものであるかどうかを判断することは不可能であり、唯一ユーザがこの問題を軽減する方法として、ユーザ名やパスワードなどの機密情報を扱う場合は、ブックマークした正規 URL または正規 URL を新規ウィンドウやタブの URL バーに手動で入力することだと書かれている。

問題
悪意をもったウェブページによって新しいウィンドウまたはタブが開かれる場合、アドレスバーの URL をなりすますことは可能である。
ユーザーへの影響
ユーザがこの悪質なコードを含むページにアクセスすると、新しいウィンドウまたはタブは偽装 URL で開かれる。これらの URL が正規のものであるかを判定する方法はない。これはユーザの機密情報を悪意を持つサイトに開示してしまうフィッシング攻撃として知られている。
現状
この脆弱性が全ての Firefox に対して影響を及ぼすことは既知のものであり、Mozilla はこの問題に対して積極的な取り組みを行っている。
ユーザがとり得る唯一の軽減策は、ウェブサイトと機密情報を共有するにあたり、URL をブックマーク (信用できる情報からの) から、または手動で新規タブかウィンドウに開くことだ。
Credit
この問題は、当初 Juan Pablo Lopez Yacubian 氏により報告された。

この問題に対しては既にパッチが提出され、ナイトリービルドでは修正されている。次の定例リリースの Firefox 3.5.2 および 3.0.13 で修正される見込みである。

コメント 2 件 - “URL バーのなりすまし脆弱性”

  1. 試行錯誤のすぱいらる :

    FirefoxにURLバーのなりすましの脆弱性

    FirefoxにURLバーのなりすましの脆弱性が見つかったようです。
    Firefoxの全バージョンに影響し、最新版の3.5.1でも未修正とのこと。
    脆弱性の具体的な内容は、悪意あるコードが埋め込まれ…

  2. MozillaZine.jp » Blog Archive » Firefox 3.5.2 と Firefox 3.0.13 がリリースされた :

    […] (英語)より確認できる。この中には先日の MozillaZine.jp ニュースURL バーのなりすまし脆弱性でもお伝えした、URL バーでの偽装問題 Bug 451898 – URL spoofing bug involving […]

コメントを投稿

XHTML: これらのタグが使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>