パスワードを忘れた? アカウント作成
9491 story

Mozilla/Firefoxにダイアログ偽装の弱点 23

ストーリー by yoosee
どっきりテクスチャー 部門より

mew曰く、"Mozilla/Firefoxの新たなセキュリティ上の弱点が公表されました。日経IT Proの記事、およびそのソースのSecuniaのAdvisoryによりますと

  • Mozilla/Firefoxでは、モーダルダイアログのに、JavaScriptで作成したPopup Windowを重ねて表示させることができてしまう。
  • これを悪用すると、例えば、「ダウンロードの確認」ダイアログが表示されるときにそれを「使用許諾確認ダイアログ」などであるかのように見せかけることができ、ユーザが使用許諾受け入れのつもりで「はい」を選択したら実際には「ダウンロードの確認」で「はい」を選択したこととなって、ユーザが意図しないファイルのダウンロードを行わせることができる。
ということです。対策は「信頼できないサイトでは安易に『はい』を選んだりしないこと」。JavaScriptの詳細設定で「ウィンドウのフォーカス(前面か背面か)を切り替える」をOFFとすることでも対処可能とされています。
Secuniaによる重要度は最低ランクの「Not critical」。Bugzillaには登録済ですが、現時点ではパッチはまだ用意されていません。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mew (23987) on 2005年01月14日 14時37分 (#678986)

    この弱点のBugzillaへの報告は2004/09/20あたりで行われていますが、設定変更のみで回避可能(らしい)→それほど重要でないと見なされたのか、ずっと放置されていたようです。その状況に報告者が業を煮やして、2005/1/10頃に公開メーリングリストに投稿した、というのが今回の公表の経緯のようです。

    弱点発見者がBugzillaへ投稿したコメントによれば、「JavaScriptの詳細設定で『ウィンドウのフォーカス(前面か背面か)を切り替える』をOFFとする」方法では、(多分タイミングの問題で)回避できない場合もある、とされていますね。

    • by mizna (8774) on 2005年01月14日 20時37分 (#679112) 日記
      私の環境ですと、proof-of-conceptの例ではpopup blockerが働き、
      popupを許可しても、("Hide status bar"を許可していないので)[OK][Cancel]の間に来る
      status barはAdblockだのForecastFoxだのGMail Notifierだのでいっぱいになります。
      さすがに見た目におかしいので、実際この弱点が悪用されたところで、
      EULAなんていつもよく読まない私でも気づくでしょう。

      なので、最初「重要」と扱ってくれなかったのも、仕方なかったのでは…?
      --
      "Stupid risks are what make life worth living!" -- Homer Simpson
      親コメント
  • by g2000 (15772) on 2005年01月14日 15時43分 (#679023)
    >「信頼できないサイトでは安易に『はい』を選んだりしないこと」
    とありますが、「いいえ」を選んでも結局変なものをダウンロード
    してしまうように仕組まれている可能性もあるんじゃないでしょうか?
    • by Anonymous Coward on 2005年01月14日 16時57分 (#679048)
      「拒否しますか?」ってメッセージになってたら、「はい」を選んじゃう罠。
      親コメント
    • 信頼できない場合、とりあえずソース読むしかないですね。
      HTMLとかJavaScript理解できない人はどうしようもないですが。

      となると一般人的にはセキュリティソフトしかなくなりますが、
      こーゆーのは対応してくれるんですかね。
      親コメント
    • モーダルダイアログの上に別のウィンドウを重ねて表示させられることがある、ということなので、このような動作が起こりうることさえ知っていれば、基本的には「何かポップアップウィンドウ (特に、見覚えの無いもの) が出てきたら、とりあえずタイトルバーを掴んで動かしてみる」とすれば良いのではないかと思います。

      # ソース表示は、ロードと同時にモーダルダイアログが出されちゃう場合はダイアログを閉じない限り出来ないので、発生してしまったアクションに対して慎重に対処するよう常に心がけるより他に無いのではないかと思われます。

      --
      むらちより/あい/をこめて。
      親コメント
    • 「○○をダウンロードしますか?」
      [はい][いいえ]

      というダイアログの「○○をダウンロードしますか?」の部分に「この規約に同意しますか?」という内容の別のウインドウを被せる(このときダウンロード確認ダイアログの[はい][いいえ]ボタンは覆わない)ことによってダウンロード確認ダイアログの[はい]を押させる手口なので[いいえ]を選べばダウンロードはされません。
      たれこみにある日経IT Proの記事 [nikkeibp.co.jp]にスクリーンショットがあります。
      親コメント
    • >「信頼できないサイトでは安易に『はい』を選んだりしないこと」 とありますが、「いいえ」を選んでも結局変なものをダウンロード してしまうように仕組まれている可能性もあるんじゃないでしょうか?

      おっしゃるとおりです。日経ITProの方では「対策は,信頼できないサイトでは,表示されたダイアログのボタンを押さないことなど」となっていました。タレコミ文のようにしましたのは、Secuniaの方の「Do not take positive actions on dialogs from untrusted sources.」に引きずられたためです。すみません。

      # けど、モーダルダイアログだったら何かボタンを
      # 押さないとどうしようもないと思うんだけど、
      # どうしろというんだろう>日経ITPro

      親コメント
      • 重ねて表示されるだけなので、本当は何のダイアログなのかさえ気付くことができれば、どのボタンを押すべきなのかはユーザーにも判別できるはずです。また、ダイアログそのものを書き換えて偽装できるというものではないようなので、「いいえ」(実際には「OK」/「キャンセル」で「キャンセル」じゃないかな?) を押すとダウンロードが開始する、というギミックにはなりえないのではないかと思います。

        # 案外、Windows XP のような丸っこいウィンドウだったら引っかかりにくいのかもしれません。

        Firefox が、(それこそ、JavaScript によって明示的に作成されたダイアログを除いて) ファイルのダウンロードやその他の危険な操作を要求するダイアログを、「いいえ」や「キャンセル」を押すことによって実行させるように表示するシチュエーションがあるかどうかは、把握しておりません。

        今回のケースは、このような動作が起こりうるということを知らない人に対しては脅威になりうると思うので、まずは Mozilla 側が積極的に情報を広めるべきだと思います。

        # つか、他のブラウザでは絶対に起こりえない現象なの? これって。

        --
        むらちより/あい/をこめて。
        親コメント
      • >#押さないとどうしようもないと思うんだけど
        そのままMozillaをKILLしてしまえという事かと。
        --
        gy0
        親コメント
      • 右上のクローズボタンがあります。
  • [OK][キャンセル] (スコア:2, すばらしい洞察)

    by seoth (17664) on 2005年01月14日 15時02分 (#678999)
    ポップアップ被せるだけなら他のブラウザでもできるんじゃ、と思ってIEで試したらウィンドウ下部には
    [開く][保存][キャンセル][詳細情報]
    …なるほど これでは騙されません。

    それならMozilla/Firefoxでも「ファイルの種類:」とか「今後この種類の~~」とかを[OK]の左に配置してしまえば済む話なのでは?
  • by gendohki (16311) on 2005年01月14日 13時31分 (#678961)
    Pop-up Windowもタブの一つにしちゃうようですが、
    あれもあれで不便そうだけど、今回みたいなコトにはならないんだろうなぁ。多分。

    素のFirefoxはなんかこうタブブラウザなのかそうでないのか良くわからない位置にいるような気がしてなぁ。
    拡張すれば良いのだけど。
    --
    --
    「なんとかインチキできんのか?」
    • by Anonymous Coward
      知ってるかとは思いますが、Tabbrowser Extensions にはそういう機能がありますね。
  • Bugzilla [mozilla.org] では以下のような対策案が投稿されていますが、

    One could also make the location of such download/permission dialogs unpredictable by calculating their x-pos according to a formula involving random numbers, e.g. "center + random(-5 to 5 excluding 0)*10 - (dialogwidth/2)".

    (物凄く乱暴な要約: ダウンロードおよび認証のダイアログが表示される位置をランダムにして、予測不能にしてしまうという手もある)

    。。。なんかそれって UI 的にイマイチな気が (^_^;

    一番まともな対策は、モーダルダイアログが Firefox の全てのウィンドウよりも確実に手前に表示されるようにするか、もしくは何らかのモーダルダイアログが出現している間は他のウィンドウが生成されないようにするか、といったところだと思うのですが、前者は OS (ウィンドウシステム) 次第で対応可否が分かれそうだし (少なくとも Windows では無理っぽい)、後者は結局はタイミングの問題になっちゃって完全な対策にはならなさそうな気がします。つまり、危険度が低い割には、対処するとなると結構厄介な不具合であるような気がするんですよね。だからこそ今までほったらかしにされつづけてきてしまったのでしょうけど。。。:(

    --
    むらちより/あい/をこめて。
    • by Anonymous Coward on 2005年01月14日 18時33分 (#679082)
      アラーとの類はIEの通知バーのようにブラウザの一定領域を占有して、かつ、ドキュメント領域を通知バーよりも下に設定してドキュメントの領域をはみ出す形ではモノが出せないようにすればフィッシングとかも防げてヨサゲなんじゃなかろうか。
      タブブラウザならJavaScriptダイアログのメッセージがどのタブから生成されたのか分かりやすくなるだろうし。

      ユーザにシステムと区別の付かないようなWebページを表示させない対策をこれからは熱心に取る必要が有るのかな。。
      例えば、システムメッセージは輝きが違うとか。
      親コメント
  • はて? (スコア:1, 興味深い)

    by Anonymous Coward on 2005年01月15日 0時54分 (#679203)
    なんかトップには出てきませんでしたが、これセクションローカルネタですか?
    IEとかだったらトップにすぐ来るのにこないのは、たいした問題じゃないからでしょうか?
    • by Anonymous Coward
      逆では?

      たいした問題じゃないけど、Mozilla/Firefoxで脆弱性が見つかるのが珍しいから記事になったのでしょう。
      IEで、今回のような「危険度:最低」な脆弱性なんて記事にもなってないものが沢山ありますよね。
  • by Anonymous Coward on 2005年01月14日 14時49分 (#678993)
    微妙な表現だな。。

    脆弱性とは書かないのは重要性の問題なのかFUDを恐れてか。
    • Re:弱点って (スコア:2, 興味深い)

      by mew (23987) on 2005年01月14日 18時04分 (#679071)

      元ソース(Secunia)を見ても「脆弱性(Vulnerability)」ではなく「弱点(Weakness)」となっていたことは、私も気にはなりましたが、元ソースを尊重して敢えて「弱点」という言葉でタレコミました。Secuniaには何か用語の使い方の基準があるのかもしれません。

      Bugzillaのほうはどちらの語も使われていないようです。

      親コメント
    • by minz (3213) on 2005年01月14日 16時36分 (#679040) ホームページ 日記
      そういや,脆弱性,って言葉もワタシ嫌いですねー。
      単に直訳しただけなのかも知れんけど,
      わざわざ難しい言い回しを使っているようで。
      欠点とか危険性とかもっとズバリ言って欲しい。
      #何に対してどのように脆弱なのか表現していない脆弱点報告も多いし。
      --
      みんつ
      親コメント
  • by Anonymous Coward on 2005年01月14日 22時17分 (#679139)
    私は上記で「画像の置換」以外のスクリプトを禁止しているのですが、これらは本当に必要なのでしょうか?
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...