Mozilla / Firefox に アドレスバーなどを偽装できる欠陥

2004-7-30 23:23
このエントリーをはてなブックマークに追加

INTERNET Watch の記事 経由、Secunia のアドバイザリーから。Mozilla、Firefox のおそらくすべてのバージョンに、アドレスバーなどのユーザーインターフェイス(UI)を偽装できる脆弱性が発見されました(CAN-2004-0764)。フィッシング詐欺などに利用されるおそれがあります。

これは Mozilla / Firefox がリモートの XUL ファイルをそのまま解釈してしまうために起こります。おおざっぱに言ってしまうと、Mozilla は XUL という XML ファイルで UI 構造が定義され、JavaScript で動作が記述され、CSS で外観(テーマ)が書かれていて、Gecko エンジンで解釈されて動いています。だから通常のサイトを解釈するように XUL を解釈することも可能なのですが、これが裏目に出たわけですね。

実証サイトを試してみたところ、メニューバーとツールバーが完全に偽装され、アドレスバーには paypal のアドレスが表示されています。ステータスバーも偽装され、鍵のかかったアイコンが表示されています。日本語ランゲージパックを入れていますが、偽装されたメニューも日本語で表示されています。ボタンのサイズや、ボタンの表示をカスタマイズしているので、比べると若干違うのは分かります。

Firefox で実証コードを試したときの画面

このスクリーンショットでは、本来のメニューやツールバー、タブなどを出していますが、実際に JavaScript でメニューバーとツールバーを消してしまえば、本物そっくりに見えることでしょう。(実際の実証コードはその様になっています。)TabBrowserExtension などで、JavaScript で開かれるウィンドウを強制的にタブで開くようにしていれば、スクリーンショットの様な状態で表示されるので、おかしいと気づくでしょうが。

8月5日追記

Mozilla 1.7.2 / Firefox 0.9.3 / Thunderbird 0.7.3 がリリースされましたが、この欠陥については修正されていません。

  • ブックマーク :
    Warning: Use of undefined constant SBM_count_get - assumed 'SBM_count_get' (this will throw an Error in a future version of PHP) in /var/www/futuremix.org/wp-content/themes/futuremix/index.php on line 40

    Warning: Use of undefined constant show_post_count - assumed 'show_post_count' (this will throw an Error in a future version of PHP) in /var/www/futuremix.org/wp-content/themes/futuremix/index.php on line 40
    アクセス: 6,194回
  • カテゴリー : セキュリティ
  • キーワード : , ,

コメントはまだありません

No comments yet.

Sorry, the comment form is closed at this time.

68 queries. HTML convert time: 0.861 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン