Adobeがクリック乗っ取りの回避策公開、Firefoxはプラグインで防止

米Adobe Systemsが当面の攻撃回避策を紹介している。Firefox用プラグインのNoScriptは攻撃防止機能を盛り込んだアップデートを公開した。

» 2008年10月09日 07時56分 公開
[ITmedia]

 Webサイトでユーザーが意図しないリンクをクリックさせられる「クリックジャッキング」(Clickjacking)問題で、米Adobe Systemsが当面の攻撃回避策を紹介している。Firefoxでは、攻撃防止機能を盛り込んだプラグイン「NoScript」のアップデート版が公開された。

 クリックジャッキング問題は、Internet Explorer(IE)やFirefoxなどの主要ブラウザとAdobe Flashに存在し、ユーザーが意図しないリンクやボタンなどをクリックさせられる恐れがあるとされる。各ベンダーともまだ公式の修正パッチは公開していない。

 Adobeによると、Flash Player 9.0.124.0とそれ以前のバージョンがこの問題の影響を受ける。一般ユーザー向けの回避策として、「Flash Player Help」にアクセスしてグローバルプライバシー設定を変更し、「常に拒否」を選択する方法を紹介。管理者向けにはクライアントのmms.cfgファイルでAVHardwareDisableの値を0から1に変更し、Flash Playerカメラとマイクロフォンの通信を無効にする方法を紹介している。

 Adobeは現在、この脆弱性を修正するアップデートを開発中で、10月中に公開を予定している。

 一方、JavaScriptやブラウザの各種プラグインをブロックするFirefox向けアドオンの「NoScript」は、クリックジャッキングの脆弱性に対処したバージョン1.8.2.1を公開した。

 NoScript開発者のブログによると、NoScriptの新機能「ClearClick」では、ユーザーが隠し要素をクリックしてしまうなど、クリックジャッキングの疑いがある場合に、警告メッセージを表示してアクセスをブロックする。クリックの実態を表示して、自分が意図したリンクにアクセスしようとしているのかどうかを判断できるという。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ