ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Firefoxに脆弱性、他者サイトのcookie改ざんの恐れも

» 2007年02月16日 08時50分 公開
[ITmedia]

 FirefoxなどMozillaベースのブラウザにクロスドメインの脆弱性が存在し、攻撃者がよそのサイトのデータを操作できてしまう問題が報告された。

 US-CERTが2月15日に公開したアドバイザリーによると、Mozillaではブラウザのフレーム処理に関して「Same Origin」ポリシーを採用し、1つのドメインから別のドメインのデータにアクセスされるのを防いでいる。しかしnull文字を含んだURIの処理が適切でなく、「location.hostname」に関するクロスドメインの脆弱性が発生する。

 この問題を突かれると、攻撃者が被害者にWebページを閲覧させることで、別のドメインのデータを改ざんすることが可能になり、例えばあるドメインのWebページスクリプトを使って別のドメインにあるWebページのcookieを設定することができてしまう。

 この問題を発見したセキュリティ研究者はBugzillaに掲載された投稿の中で、脆弱性はFirefox 2.0.0.1で検証を行い、最近の全バージョンに存在すると指摘。悪質サイトがサードパーティーのWebページの認証用cookieを操作することも可能で、結果的にこれらサイトの表示や機能を改ざんすることができてしまうと解説している。

 セキュリティ企業のF-Secureによると、例えばブラウザが銀行のサイトに接続しているように見せかけて、実際は犯罪者からデータを受け取っているといった形で悪用される恐れがある。

 まだ公式パッチはリリースされていないが、US-CERTでは回避策としてJavaScriptを無効にするやり方を紹介している。

Copyright © ITmedia, Inc. All Rights Reserved.