デンマークのSecuniaは14日、Firefoxに右クリックメニューの「リンク先を名前を付けて保存」を選んだ場合に、実際のダウンロード先を偽装できる脆弱性があると報告した。この脆弱性は、Firefoxの最新版となるバージョン1.0.1にも存在するほか、Mozilla 1.7.5、Thunderbird 1.0にも存在する。脆弱性の危険度については、5段階中で最も低い“Not critical”としている。
報告された脆弱性は、HTMLの表(TABLEタグ)を利用して、(1)表全体にリンクを指定、(2)表内の要素にリンクを指定、と二重にリンクを指定することで再現できる。このようなHTMLにFirefoxでアクセスすると、リンクにマウスカーソルをあわせた状態ではステータスバーに(1)のリンクが表示されるが、右クリックメニューから「リンク先を名前を付けて保存」を選んだ場合には(2)のリンクからダウンロードを行なおうとする。これにより、不正なプログラムなどをユーザーにダウンロードさせることが可能になるという。
また、2004年11月には同様の脆弱性がInternet ExplorerとOutlook Expressにも存在することが指摘されているが、Windows XPにSP2を適用した状態ではこの問題は発生しないという。
関連情報
■URL
Secuniaによるセキュリティ勧告(英文)
http://secunia.com/advisories/14567/
( 三柳英樹 )
2005/03/15 12:20
- ページの先頭へ-
|