Mozilla/Firefoxにダイアログ偽装の弱点 23
ストーリー by yoosee
どっきりテクスチャー 部門より
どっきりテクスチャー 部門より
mew曰く、"Mozilla/Firefoxの新たなセキュリティ上の弱点が公表されました。日経IT Proの記事、およびそのソースのSecuniaのAdvisoryによりますと
- Mozilla/Firefoxでは、モーダルダイアログの上に、JavaScriptで作成したPopup Windowを重ねて表示させることができてしまう。
- これを悪用すると、例えば、「ダウンロードの確認」ダイアログが表示されるときにそれを「使用許諾確認ダイアログ」などであるかのように見せかけることができ、ユーザが使用許諾受け入れのつもりで「はい」を選択したら実際には「ダウンロードの確認」で「はい」を選択したこととなって、ユーザが意図しないファイルのダウンロードを行わせることができる。
Secuniaによる重要度は最低ランクの「Not critical」。Bugzillaには登録済ですが、現時点ではパッチはまだ用意されていません。"
Bugzilla読みますと (スコア:3, 参考になる)
この弱点のBugzillaへの報告は2004/09/20あたりで行われていますが、設定変更のみで回避可能(らしい)→それほど重要でないと見なされたのか、ずっと放置されていたようです。その状況に報告者が業を煮やして、2005/1/10頃に公開メーリングリストに投稿した、というのが今回の公表の経緯のようです。
弱点発見者がBugzillaへ投稿したコメントによれば、「JavaScriptの詳細設定で『ウィンドウのフォーカス(前面か背面か)を切り替える』をOFFとする」方法では、(多分タイミングの問題で)回避できない場合もある、とされていますね。
Re:Bugzilla読みますと (スコア:1)
popupを許可しても、("Hide status bar"を許可していないので)[OK][Cancel]の間に来る
status barはAdblockだのForecastFoxだのGMail Notifierだのでいっぱいになります。
さすがに見た目におかしいので、実際この弱点が悪用されたところで、
EULAなんていつもよく読まない私でも気づくでしょう。
なので、最初「重要」と扱ってくれなかったのも、仕方なかったのでは…?
"Stupid risks are what make life worth living!" -- Homer Simpson
「いいえ」を選んでも危ないのでは? (スコア:3, すばらしい洞察)
とありますが、「いいえ」を選んでも結局変なものをダウンロード
してしまうように仕組まれている可能性もあるんじゃないでしょうか?
Re:「いいえ」を選んでも危ないのでは? (スコア:1, すばらしい洞察)
Re:「いいえ」を選んでも危ないのでは? (スコア:1)
HTMLとかJavaScript理解できない人はどうしようもないですが。
となると一般人的にはセキュリティソフトしかなくなりますが、
こーゆーのは対応してくれるんですかね。
それ以前に (スコア:1)
モーダルダイアログの上に別のウィンドウを重ねて表示させられることがある、ということなので、このような動作が起こりうることさえ知っていれば、基本的には「何かポップアップウィンドウ (特に、見覚えの無いもの) が出てきたら、とりあえずタイトルバーを掴んで動かしてみる」とすれば良いのではないかと思います。
# ソース表示は、ロードと同時にモーダルダイアログが出されちゃう場合はダイアログを閉じない限り出来ないので、発生してしまったアクションに対して慎重に対処するよう常に心がけるより他に無いのではないかと思われます。
むらちより/あい/をこめて。
Re:「いいえ」を選んでも危ないのでは? (スコア:1)
[はい][いいえ]
というダイアログの「○○をダウンロードしますか?」の部分に「この規約に同意しますか?」という内容の別のウインドウを被せる(このときダウンロード確認ダイアログの[はい][いいえ]ボタンは覆わない)ことによってダウンロード確認ダイアログの[はい]を押させる手口なので[いいえ]を選べばダウンロードはされません。
たれこみにある日経IT Proの記事 [nikkeibp.co.jp]にスクリーンショットがあります。
Re:「いいえ」を選んでも危ないのでは? (スコア:1)
おっしゃるとおりです。日経ITProの方では「対策は,信頼できないサイトでは,表示されたダイアログのボタンを押さないことなど」となっていました。タレコミ文のようにしましたのは、Secuniaの方の「Do not take positive actions on dialogs from untrusted sources.」に引きずられたためです。すみません。
# けど、モーダルダイアログだったら何かボタンを
# 押さないとどうしようもないと思うんだけど、
# どうしろというんだろう>日経ITPro
Re:「いいえ」を選んでも危ないのでは? (スコア:1)
重ねて表示されるだけなので、本当は何のダイアログなのかさえ気付くことができれば、どのボタンを押すべきなのかはユーザーにも判別できるはずです。また、ダイアログそのものを書き換えて偽装できるというものではないようなので、「いいえ」(実際には「OK」/「キャンセル」で「キャンセル」じゃないかな?) を押すとダウンロードが開始する、というギミックにはなりえないのではないかと思います。
# 案外、Windows XP のような丸っこいウィンドウだったら引っかかりにくいのかもしれません。
Firefox が、(それこそ、JavaScript によって明示的に作成されたダイアログを除いて) ファイルのダウンロードやその他の危険な操作を要求するダイアログを、「いいえ」や「キャンセル」を押すことによって実行させるように表示するシチュエーションがあるかどうかは、把握しておりません。
今回のケースは、このような動作が起こりうるということを知らない人に対しては脅威になりうると思うので、まずは Mozilla 側が積極的に情報を広めるべきだと思います。
# つか、他のブラウザでは絶対に起こりえない現象なの? これって。
むらちより/あい/をこめて。
Re:「いいえ」を選んでも危ないのでは? (スコア:1)
そのままMozillaをKILLしてしまえという事かと。
gy0
Re:「いいえ」を選んでも危ないのでは? (スコア:0)
[OK][キャンセル] (スコア:2, すばらしい洞察)
それならMozilla/Firefoxでも「ファイルの種類:」とか「今後この種類の~~」とかを[OK]の左に配置してしまえば済む話なのでは?
Sleipnirとかは (スコア:1)
あれもあれで不便そうだけど、今回みたいなコトにはならないんだろうなぁ。多分。
素のFirefoxはなんかこうタブブラウザなのかそうでないのか良くわからない位置にいるような気がしてなぁ。
拡張すれば良いのだけど。
--
「なんとかインチキできんのか?」
Re:Sleipnirとかは (スコア:0)
どういう対策にするんだろう (スコア:1)
Bugzilla [mozilla.org] では以下のような対策案が投稿されていますが、
。。。なんかそれって UI 的にイマイチな気が (^_^; 。
一番まともな対策は、モーダルダイアログが Firefox の全てのウィンドウよりも確実に手前に表示されるようにするか、もしくは何らかのモーダルダイアログが出現している間は他のウィンドウが生成されないようにするか、といったところだと思うのですが、前者は OS (ウィンドウシステム) 次第で対応可否が分かれそうだし (少なくとも Windows では無理っぽい)、後者は結局はタイミングの問題になっちゃって完全な対策にはならなさそうな気がします。つまり、危険度が低い割には、対処するとなると結構厄介な不具合であるような気がするんですよね。だからこそ今までほったらかしにされつづけてきてしまったのでしょうけど。。。:(
むらちより/あい/をこめて。
Re:どういう対策にするんだろう (スコア:1, すばらしい洞察)
タブブラウザならJavaScriptダイアログのメッセージがどのタブから生成されたのか分かりやすくなるだろうし。
ユーザにシステムと区別の付かないようなWebページを表示させない対策をこれからは熱心に取る必要が有るのかな。。
例えば、システムメッセージは輝きが違うとか。
Re:どういう対策にするんだろう (スコア:1)
表示領域の上の方に出てくる黄色いバーですよね。Firefox も、ポップアップブロックが行なわれた際には同じように表示されます。そうか、あれをどんどん応用すれば良いのか。
最近はどんなシチュエーションでもダイアログを極力使わないのが結構流行りみたいだし、その方が良いのかもしれません。
むらちより/あい/をこめて。
はて? (スコア:1, 興味深い)
IEとかだったらトップにすぐ来るのにこないのは、たいした問題じゃないからでしょうか?
Re:はて? (スコア:0)
たいした問題じゃないけど、Mozilla/Firefoxで脆弱性が見つかるのが珍しいから記事になったのでしょう。
IEで、今回のような「危険度:最低」な脆弱性なんて記事にもなってないものが沢山ありますよね。
弱点って (スコア:0)
脆弱性とは書かないのは重要性の問題なのかFUDを恐れてか。
Re:弱点って (スコア:2, 興味深い)
元ソース(Secunia)を見ても「脆弱性(Vulnerability)」ではなく「弱点(Weakness)」となっていたことは、私も気にはなりましたが、元ソースを尊重して敢えて「弱点」という言葉でタレコミました。Secuniaには何か用語の使い方の基準があるのかもしれません。
Bugzillaのほうはどちらの語も使われていないようです。
Re:弱点って (スコア:1)
単に直訳しただけなのかも知れんけど,
わざわざ難しい言い回しを使っているようで。
欠点とか危険性とかもっとズバリ言って欲しい。
#何に対してどのように脆弱なのか表現していない脆弱点報告も多いし。
みんつ
JavaScriptの詳細設定 (スコア:0)