最新版『Firefox』の認証ダイアログボックスに脆弱性

ユーザー名やパスワードを入力するポップアップのダイアログボックスは、多くの Web サイトでよく見られる機能だ。だが、Mozilla Foundation の Web ブラウザ『Firefox』のユーザーは、次に個人情報を入力するときには、よく考えてからにしたほうがいいかもしれない。セキュリティ研究者の Aviv Raff 氏によると、最新版の『Firefox 2.0.0.11』では、パスワードを入力するポップアップのダイアログボックスを装ったフィッシング攻撃のおそれがあるという。

Raff 氏はこの件に関する文書の中で、「Mozilla の Firefox では、基本認証ダイアログボックスで表示される情報を装うことが可能だ。これを悪用し、信用できる Web サイトの認証ダイアログボックスだとユーザーに思わせることで、フィッシング攻撃を実行することができる」と注意を促している。

Raff 氏の説明によれば、この脆弱性の原因となっているのは、認証の実行場所を定義するレルム値に関して、不適切な文字がすべて Firefox の認証ボックス内で削除されていないことだという。これにより、金融機関などの信用できるサイトのパスワード入力ダイアログボックスを装ったレルム値を、攻撃者が作成することが可能になっている。

「ユーザーがリンクをクリックすると、信用できる Web ページが新しいウィンドウとして開き、そのウィンドウを攻撃者の Web サーバーにリダイレクトするスクリプトが実行される。そのサーバーから、巧妙に作成された基本認証レスポンスが返信される」と Raff 氏は説明している。Raff 氏は文書による勧告のほか、脆弱性が悪用される仕組みを解説する動画を YouTube で公開している。

Mozilla の最高セキュリティ責任者 Window Snyder 氏は取材に対し、この件については調査中だと Eメールで回答した。また、Raff 氏について、まずは Mozilla にセキュリティ上の問題を知らせてしかるべきだったとも述べている。