- IEやFirefoxなど多数のブラウザにダイアログボックスの脆弱性~Secunia報告
http://internet.watch.impress.co.jp/cda/news/2005/06/21/8097.html - IEのポップアップウィンドウを悪用するフィッシング詐欺??Microsoft警告
http://internet.watch.impress.co.jp/cda/news/2005/06/23/8122.html - Secunia - Multiple Browsers Dialog Origin Vulnerability Test
http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/
正規のサイトからのリクエストを装い、JavaScript のポップアップダイアログを表示させてパスワードを盗むようなコトに使えそうな脆弱性です。IE、Mozilla / Firefox、Opera、Safari など、主なブラウザ全てに存在するようです。
上のSecunia の記事内の"Test Now - Left Click On This Link" を実際にクリックしてみた結果。Google がダイアログボックスを表示させているかのように偽装されています。
JavaScript 経由で出るダイアログボックスは分かりやすいので、区別がつきやすいかも。ダイアログボックスを表示させているウィンドウはアドレスバーなどを表示させないようにしていますが、実際のURL は"http://www.google.com.secunia.com/tests/origin_spoof.php" です。本来のドメイン名に対するサブドメイン名として"www.google.com" を指定しています。こうしておくと、小さく表示させたブラウザウィンドウのタイトルバーを見ただけでは正偽の区別がつかないです。
Secunia 的評価では"Less Critical"(5段階中、下から2番目) の危険度とのことなので、すぐに修正パッチが出たりとか言うことはなさそうな気配です。気をつければ(たぶん) 回避できるでしょうし、普段からJavaScript をオフにしておくというのはかなり有効なアイディアといえます。
Sleipnir 使いの私の場合、基本はJavaScript オフ、[セキュリティ]-[セキュリティの継承] もオフにしているので、上記のテストページの場合だと、まず元のページでJavaScript をオンにした上でリンクをクリック→小さなウィンドウではなく、新しいタブで開くのでアドレスが確認できる→JavaScript をオンにすることで初めてダイアログが表示される、と手順を踏まないといけないです。色々面倒なこともあるけど、いきなり何かに引っかかったりする可能性が下げられるので、オススメです。
Microsoft が個人向けセキュリティ対策の分かりやすいページを作っています。JavaScript をオフにしていても特に問題なく表示できているしリンクもクリックできるようになっているのは流石です。
- 個人ユーザー向けセキュリティ
http://www.microsoft.com/japan/athome/security/default.mspx
(2005/06/27 15:37 追記)
日本語訳記事
- マイクロソフト セキュリティ アドバイザリ (902333) 元の場所が表示されないブラウザ ウィンドウがフィッシング詐欺に利用される可能性について
http://www.microsoft.com/japan/technet/security/advisory/902333.mspx