パスワードを忘れた? アカウント作成
9094 story

主要タブブラウザに共通のセキュリティホール 128

ストーリー by GetSet
影響範囲は広い 部門より

greentea曰く、"CNET Japanの記事によると、SecuniaはMozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザ、IE用にサードパーティが開発する、タブブラウザ機能を追加するためのプラグインに、共通する2つのセキュリティ問題が見つかったと発表した。
このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
Secuniaではタブ機能つきブラウザの利用者に対し、JavaScriptを使用不可にするか、あるいは十分信頼できないウェブサイトにアクセスする際には、別のタブウィンドウで信頼できるサイトを開いたままにしておかないように奨めている。
Konquerorは19日(米国時間)にリリースした最新バージョンで、Firefoxはあと2週間ほどでリリース予定のFirefox1.0でこの問題は解決される。
また、同記事によると、Microsoftのブラウザについては最新アップデートでも回避不能な脆弱性も報告されているそうだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ruto (17678) on 2004年10月22日 11時48分 (#640793) 日記
    Dialog Box Spoofing Vulnerability の方はタブを使ってなくても(新しいウインドウで開いても)危険です。
    target="_blank"などがつけられていれば(主要な視覚的ブラウザではクリックしただけでデフォルトの動作では新しいウインドウを開くので(長いただし書きだ))なおさら危険です。

    #target="_blank"なリンクはデフォルトで視覚的に区別がつくようにするべきだよなぁ。
  • 試してみた (スコア:3, 参考になる)

    by Anonymous Coward on 2004年10月22日 14時37分 (#640904)
    http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
    DonutRAPT/Firefoxで影響が確認できた。
    しかし新しいタブをアクティブにする設定にはしてないからいまいちインパクトに欠ける。

    http://secunia.com/multiple_browsers_form_field_focus_test/
    同じくDonutRAPT/Firefoxで影響が確認できた。
    Citibankのページで入力したはずの文字がどこかへ消えるので妖しさ抜群。

    おまけ:FirefoxならどうしてもJavaScriptを有効にしなければ
    ならない時の為に以下の内容をprefs.jsに書いておくといいかも。
    focus乗っ取り攻撃への一定の(完全かは知らん)防御効果がある。
    user_pref("capability.policy.default.HTMLAnchorElement.focus", "noAccess");
    user_pref("capability.policy.default.HTMLButtonElement.focus", "noAccess");
    user_pref("capability.policy.default.HTMLButtonElement.click", "noAccess");
    user_pref("capability.policy.default.HTMLInputElement.focus", "noAccess");
    user_pref("capability.policy.default.HTMLInputElement.select", "noAccess");
    user_pref("capability.policy.default.HTMLInputElement.click", "noAccess");
    user_pref("capability.policy.default.HTMLSelectElement.focus", "noAccess");
    user_pref("capability.policy.default.HTMLTextAreaElement.focus", "noAccess");
    user_pref("capability.policy.default.HTMLTextAreaElement.select", "noAccess");
    user_pref("capability.policy.default.Window.focus", "noAccess");
    • # まだ誰もOperaでの実験結果をポストしていないようなので,勇気を出して大きな声で言ってみる(w

      http://secunia.com/multiple_browsers_dialog_box_spoofing_test/
      Opera7.54/Winで影響を確認.
      ただし,リンクの上にマウスカーソルを置くだけでダイアログが開いてしまうので,うまく誘導しないとすぐにバレそうだ(他のブラウザでは,リンクを開くまでダイアログが開かないのかな?).誘導に成功して,さらに新しいタブをアクティブにする設定にしていれば,CitiBankのダイアログと見間違えることは十分ありえる.

      http://secunia.com/multiple_browsers_form_field_focus_test/
      Secuniaのサイトにもあるように,Opera7.54/Winでは全く何も起こらない.
      --
      _.. ._._._ _... ._._._ ._. ._._._
      物は試しだ。コメントのしきい値を2にしてごらん
      親コメント
    • by SuperSouya (18827) on 2004年10月22日 20時48分 (#641076) 日記
      私もFirefox0.10.1で再現できました。
      それにしても、Mozilla Projectの対応は早いですね。
      --
      Super Souya
      親コメント
      • Re:試してみた (スコア:2, 参考になる)

        by Motohiko (15295) on 2004年10月23日 19時13分 (#641397) ホームページ

        それにしても、Mozilla Projectの対応は早いですね。

        細かいようだけど、Bug 124750 [mozilla.org]の報告は2002/2/10で、80を越えるdupを数え、尚且つ仮パッチ作成は2004/9/27です。単にタイミングがよかっただけではないでしょうか。現在のが仮パッチというのも加味しないと (trunkには入ってない)。

        つまりFx 1.0 (Gecko/1.7) はいいけど1.1 (Gecko/1.8) はどうなるか、と。半年は先のことを心配しても仕方ないんだけどね…。

        それは兎も角、 document.createEventを用いた問題 (Bug 265456) [mozilla.org]が残ってました。Fxは明日 (2004-10-23) 付けのビルドで、とりあえず両方とも問題なくなるようです。

        親コメント
  • Opera社も「今年末にリリースされるOpera7.6でこの問題を修正する」と発表 [opera.com]しています.

    なお,同ページでは,「重要な情報を扱うサイトへ移動する際に,信頼できないサイトに置かれたリンクを利用するべきではない」ともアドバイスしています.
    --
    _.. ._._._ _... ._._._ ._. ._._._
    物は試しだ。コメントのしきい値を2にしてごらん
  • Javascript (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年10月22日 9時31分 (#640700)
    セキュリティに興味があるのなら使わないのがデフォルトだと思うのですが、なにか。
    • Re:Javascript (スコア:2, 参考になる)

      by hetsu (20017) on 2004年10月22日 9時46分 (#640711)
      結局,利用者が「Javascript,JAVA,ActiveXの実行は危険を伴う」
      と言う認識を持つことが大事なんでしょうね。

      私はIEコンポーネントのSleipnir使いなのですが。
      Sleipnirの場合,ブックマークごとに
      JAVAScript,JAVA,ActiveXなどのオンオフが設定できるので,
      よく行くサイトのみオンにして,デフォルトはオフにしています。

      IEコンポーネントブラウザはIEのセキュリティホールを継承しますが,
      下手に他のブラウザを使うより,この方がいいかな,と思っています。
      (そんなことはない,って方はご指導ください)

      #でも,今気づいたけど,Sleipnir,Geckoに正式対応していますね。
      #GeckoコアでのSleipnirが最強なのかな?
      親コメント
      • Re:Javascript (スコア:4, おもしろおかしい)

        by parsley (5772) on 2004年10月22日 10時39分 (#640750) 日記
        >結局,利用者が「Javascript,JAVA,ActiveXの実行は危険を伴う」と言う認識を持つことが大事なんでしょうね。

        同意。ヤバスクリプトという名前でも広めましょうか?
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
        • Re:Javascript (スコア:2, 興味深い)

          by himazu (13982) on 2004年10月22日 13時45分 (#640880)
          Jはドイツ語ではヤ行の子音なので(たぶんオランダ語でも)、実際にオランダ人がJavaを「ヤバ」のように発音するのを聞いたことがあります。

          というわけで、以前からドイツ語圏等に「ヤバスクリプト」と発音している人はいたのではないかと想像します。
          親コメント
      • by Carol (2812) on 2004年10月22日 10時05分 (#640725)
        wiki [sppd.ne.jp]見るかぎりはまだ正式対応版出てないようなんですけど、どこに正式対応の情報ありました?

        あったら欲しい。
        親コメント
      • by ccd (10197) on 2004年10月22日 10時38分 (#640749) 日記
        結局の所、IEコンポーネント使用型のタブブラウザを、JavaScriptなどはデフォルトOFFにして使うのが一番便利かつある程度安全性も確保できるのでは、という気が。

        まぁMozillaなりFireFoxなりにタブブラウザ拡張を突っ込めば、ほぼ同等のことができるんですが。ただLunascapeにある「このタブの設定を次タブに引き継ぐ」機能さえ移植されれば…。新しいウィンドウを開くタイプのWebサイト(たとえば東京三菱ダイレクト [btm.co.jp]とか出光カード [idemitsu.co.jp]とかログオンが必要なサイトに多い)だと、この機能が無いと不便なのです。
        親コメント
    • 正しく機能させるには使わなければならないサイトが結構あるのですが、なにか。
      親コメント
    • Re:Javascript (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2004年10月22日 9時53分 (#640717)
      使わなくても普通に見られるサイトばかりならそれで良いのですが、
      使わないとまともにみられないサイトも結構な数あることが問題なわけで。
      Windows Updateとか。

      IEではセキュリティゾーンの設定がドメインレベルでしか行えないのも問題かと。
      親コメント
  • Safariも。 (スコア:1, 参考になる)

    by Anonymous Coward on 2004年10月22日 10時08分 (#640729)
    らしいですが。
    http://internet.watch.impress.co.jp/cda/news/2004/10/21/5090.html

    CNETもITMediaもその記述はないです。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...