Operaに再びアドレスバー偽装の脆弱性、最新版にも影響

Windows版Operaに、またもやURL偽装の脆弱性が発見された。

[ITmedia]

　Webブラウザの「Opera」Windows版に、またもやURL偽装の脆弱性が発見された。最新バージョンのOpera 7.53にもこの問題は存在しているという。

　URL偽装の脆弱性とは、やり方はさまざまだが、Webブラウザ上の表示を偽装し、実際のアクセス先とは異なるURLを表示できてしまうという問題だ。ユーザー自身が考えているものとは異なるサイトに誘導しながら、表示を偽装することで、それと気付かせないように細工できる。正規の金融機関やショッピングサイトのように見せかけ、重要な情報を入力するようにうながすフィッシング詐欺にとっては、格好の脆弱性だ。

　Operaでは過去にもたびたび、URL偽装の脆弱性が存在することが指摘されてきた。今回発見された問題は、あるWebページをwindow.openファンクションで開き、それをlocation.replaceファンクションで別サイトのものに置き換えると、アドレスバーの表示が更新されず、最初のページのURLを表示したままになるというもの。ごく簡単な検証用スクリプトも公になっている。

　7月28日朝の時点で、OperaのWebサイトにはこの問題に関する情報は掲載されておらず、パッチも提供されていない。問題を修正した新バージョンが公開されるまでの間、自身の身を守るためには、不審なWebサイトやリンクはクリックせず、重要なサイトへアクセスする際には「手入力」でURLを入力するといった対応が必要だ。

　この問題とは別に、Mozilla／Mozilla Firefoxには、証明書偽造の問題が指摘されている。