最新版『Firefox』の認証ダイアログボックスに脆弱性

この記事のURLhttp://japan.internet.com/webtech/20080105/12.html

ユーザー名やパスワードを入力するポップアップのダイアログボックスは、多くの Web サイトでよく見られる機能だ。だが、Mozilla Foundation の Web ブラウザ『Firefox』のユーザーは、次に個人情報を入力するときには、よく考えてからにしたほうがいいかもしれない。セキュリティ研究者の Aviv Raff 氏によると、最新版の『Firefox 2.0.0.11』では、パスワードを入力するポップアップのダイアログボックスを装ったフィッシング攻撃のおそれがあるという。

Raff 氏はこの件に関する文書の中で、「Mozilla の Firefox では、基本認証ダイアログボックスで表示される情報を装うことが可能だ。これを悪用し、信用できる Web サイトの認証ダイアログボックスだとユーザーに思わせることで、フィッシング攻撃を実行することができる」と注意を促している。

Raff 氏の説明によれば、この脆弱性の原因となっているのは、認証の実行場所を定義するレルム値に関して、不適切な文字がすべて Firefox の認証ボックス内で削除されていないことだという。これにより、金融機関などの信用できるサイトのパスワード入力ダイアログボックスを装ったレルム値を、攻撃者が作成することが可能になっている。

「ユーザーがリンクをクリックすると、信用できる Web ページが新しいウィンドウとして開き、そのウィンドウを攻撃者の Web サーバーにリダイレクトするスクリプトが実行される。そのサーバーから、巧妙に作成された基本認証レスポンスが返信される」と Raff 氏は説明している。Raff 氏は文書による勧告のほか、脆弱性が悪用される仕組みを解説する動画を YouTube で公開している。

Mozilla の最高セキュリティ責任者 Window Snyder 氏は取材に対し、この件については調査中だと Eメールで回答した。また、Raff 氏について、まずは Mozilla にセキュリティ上の問題を知らせてしかるべきだったとも述べている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。