Internet Watch logo
記事検索
最新ニュース

Firefoxなどに右クリックからの保存先を詐称できる脆弱性〜Secunia報告


 デンマークのSecuniaは14日、Firefoxに右クリックメニューの「リンク先を名前を付けて保存」を選んだ場合に、実際のダウンロード先を偽装できる脆弱性があると報告した。この脆弱性は、Firefoxの最新版となるバージョン1.0.1にも存在するほか、Mozilla 1.7.5、Thunderbird 1.0にも存在する。脆弱性の危険度については、5段階中で最も低い“Not critical”としている。

 報告された脆弱性は、HTMLの表(TABLEタグ)を利用して、(1)表全体にリンクを指定、(2)表内の要素にリンクを指定、と二重にリンクを指定することで再現できる。このようなHTMLにFirefoxでアクセスすると、リンクにマウスカーソルをあわせた状態ではステータスバーに(1)のリンクが表示されるが、右クリックメニューから「リンク先を名前を付けて保存」を選んだ場合には(2)のリンクからダウンロードを行なおうとする。これにより、不正なプログラムなどをユーザーにダウンロードさせることが可能になるという。

 また、2004年11月には同様の脆弱性がInternet ExplorerとOutlook Expressにも存在することが指摘されているが、Windows XPにSP2を適用した状態ではこの問題は発生しないという。


関連情報

URL
  Secuniaによるセキュリティ勧告(英文)
  http://secunia.com/advisories/14567/


( 三柳英樹 )
2005/03/15 12:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.