Internet Watch logo
記事検索
最新ニュース

Mac用IEに、ダイアログボックスを偽装できる脆弱性


Secuniaが用意した脆弱性の再現ページを、Mac OS 9.2のIE 5.1で表示したところ。アクティブウインドウに表示されているのはCitiBankのWebサイトだが、ダイアログボックスは裏にあるSecuniaのサイトから開かれている
 デンマークのセキュリティベンダーであるSecuniaは22日、Mac用のInternet Explorer(IE)に、ダイアログボックスをスプーフィング(偽装)できる脆弱性が発見されたと発表した。危険度は、5段階中3番目の“Moderately critical”と評価されている。

 この脆弱性は、アクティブでないウインドウからダイアログボックスを開けるというもの。別のウインドウに表示された信頼できるWebサイトのダイアログボックスに見せかけることができる。ただしスプーフィングを成功させるには、ユーザーをいったん悪意あるサイトにアクセスさせ、そこで信頼されたサイトへのリンクを別ウインドウで開かせる必要がある。

 Secuniaでは、この脆弱性をMac用のIE 5.2で確認済みだが、他のバージョンにも影響する可能性があるとしている。対策としては、信頼できないサイトと信頼できるサイトを同時に訪問しないことのほか、JavaScriptを無効にする方法が示されている。

 なお、SecuniaではすでにMozilla 1.7、Mozilla Firefox、Opera、Netscape 7、Safariなど、タブ機能を持つ多くのブラウザで、似たような脆弱性が確認されていると報告している。


関連情報

URL
  Secuniaの脆弱性情報(英文)
  http://secunia.com/advisories/12920/

関連記事
Mozilla、Operaなど多くのブラウザにダイアログボックス偽装の脆弱性(2004/10/21)


( 永沢 茂 )
2004/10/22 21:01

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.