Mozilla/Firefoxにダイアログ偽装の弱点
タレコミ by mew
mew 曰く、
Mozilla/Firefoxの新たなセキュリティ上の弱点が公表されました。日経IT Proの記事、およびそのソースのSecuniaのAdvisoryによりますと、
- Mozilla/Firefoxでは、モーダルダイアログの上に、JavaScriptで作成したPopup Windowを重ねて表示させることができてしまう。
- これを悪用すると、例えば、「ダウンロードの確認」ダイアログが表示されるときにそれを「使用許諾確認ダイアログ」などであるかのように見せかけることができ、ユーザが使用許諾受け入れのつもりで「はい」を選択したら実際には「ダウンロードの確認」で「はい」を選択したこととなって、ユーザが意図しないファイルのダウンロードを行わせることができる。
ということです。対策は「信頼できないサイトでは安易に『はい』を選んだりしないこと」。JavaScriptの詳細設定で「ウィンドウのフォーカス(前面か背面か)を切り替える」をOFFとすることでも対処可能とされています。
Secuniaによる重要度は最低ランクの「Not critical」。Bugzillaには登録済ですが、現時点ではパッチはまだ用意されていません。