ニュース
» 2007年02月16日 08時50分 UPDATE

Firefoxに脆弱性、他者サイトのcookie改ざんの恐れも

FirefoxなどMozillaベースのブラウザに脆弱性が存在し、悪用されると攻撃者がよそのサイトのcookieなどのデータを操作できてしまうという。

[ITmedia]

 FirefoxなどMozillaベースのブラウザにクロスドメインの脆弱性が存在し、攻撃者がよそのサイトのデータを操作できてしまう問題が報告された。

 US-CERTが2月15日に公開したアドバイザリーによると、Mozillaではブラウザのフレーム処理に関して「Same Origin」ポリシーを採用し、1つのドメインから別のドメインのデータにアクセスされるのを防いでいる。しかしnull文字を含んだURIの処理が適切でなく、「location.hostname」に関するクロスドメインの脆弱性が発生する。

 この問題を突かれると、攻撃者が被害者にWebページを閲覧させることで、別のドメインのデータを改ざんすることが可能になり、例えばあるドメインのWebページスクリプトを使って別のドメインにあるWebページのcookieを設定することができてしまう。

 この問題を発見したセキュリティ研究者はBugzillaに掲載された投稿の中で、脆弱性はFirefox 2.0.0.1で検証を行い、最近の全バージョンに存在すると指摘。悪質サイトがサードパーティーのWebページの認証用cookieを操作することも可能で、結果的にこれらサイトの表示や機能を改ざんすることができてしまうと解説している。

 セキュリティ企業のF-Secureによると、例えばブラウザが銀行のサイトに接続しているように見せかけて、実際は犯罪者からデータを受け取っているといった形で悪用される恐れがある。

 まだ公式パッチはリリースされていないが、US-CERTでは回避策としてJavaScriptを無効にするやり方を紹介している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -