複数の Web ブラウザにコンテンツ差し替えの脆弱性

セキュリティ調査会社 Secunia は8日、Web サイトのコンテンツ差し替えを許してしまう脆弱性が、ほとんどのブラウザ製品に見つかったと発表した。

Secunia が公表した情報『The Window Injection Vulnerability』によれば、攻撃者がこの脆弱性を悪用した場合、ブラウザ画面を「乗っ取り」、表示内容を差し替えることができるという。同社はこの脆弱性の深刻度を、5段階中の3番目とした。

同社は影響を受けるブラウザ『Mozilla および Firefox』『Internet Explorer』『Opera』『Netscape』『Safari』『Konqueror』について、それぞれ個別にセキュリティ勧告を公開している。

Secunia の CTO、Thomas Kristensen 氏によると、同社は関係するブラウザベンダー全社にこの脆弱性を報告したが、Opera 以外のベンダーは耳を貸さなかったという。

「Opera は、現在この問題の修正にあたっている。他社も Opera に倣ってくれることを願うばかりだ」と同氏は語った。

Kristensen 氏によれば、この問題は7月に同社が公開した、フレーム内に任意のコンテンツを表示できる脆弱性『Frame Injection Vulnerability』に類似するもので、悪意ある Web サイトを開き、同時に信頼できるサイトを別画面で開いている際に悪用できるという。条件が揃えば、信頼できるサイトが開くポップアップウィンドウの内容を差し替えることができる。

Kristensen 氏は、「根本的な問題は、ウィンドウのターゲット名が分かっていれば、別のサイトからそのウィンドウにコンテンツを注入できることにある」と説明している。

この脆弱性を悪用すれば、差し替えたコンテンツの内容を、信頼性のあるサイトの提供する内容だと、ユーザーに勘違いさせることが可能だ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール