「Firefox」「Internet Explorer」にセキュリティホール、パスワード漏洩の可能性も

Chapin Information Services(CIS)より現地時間21日、「Firefox」「Internet Explorer」におけるセキュリティホールの存在が報告されているようです。 CISよりRCSR(Reverse Cross-Site Request)と命名された今回のセキュリティホールは、Firefoxの「パスワードマネージャ」がユーザ名、パスワードを適用するWebページ(フォーム)のURLを適切にチェックしない事等に起因していると伝えられており、同一ドメインであれば、異なるWebページに対しても記憶したユーザ名、パスワードを適用してしまう可能性があるとの事。結果、細工が施されたWebページにアクセスした際に、正規のページ(同一ドメイン)で使用されているユーザ名、パスワードが第三者に漏洩する危険性が生じるとされており、Netcraftからは「MySpace.com」での適用事例等も報告されているそうです。

現時点で影響を受けるのは「Firefox 1.x」「Firefox 2.0.0」と伝えられており、Mozilla Foundationより今後リリース予定とされるVer.2.0.0.1、或いはVer.2.0.0.2において修正予定との事。また、Internet Explorerでも同一の脆弱性が指摘されているようですが、Firefoxが保存されたユーザ名とパスワードを自動的にRCSRフォームに送信してしまうのに対し、Internet Explorerは正規のログインフォームとRCSRフォームが同一ページに存在しない限り問題は発生しないと伝えられています。

尚、Firefox、Internet Explorer共に情報送信前にフォームデータの送信先をチェック可能な設計になっておらず、ブラウザのアドレスバーには信頼できるサイトのURLが表示されるため、攻撃の成功確率が高いとの事。現時点での回避策としてパスワードマネージャの無効化が挙げられており、Secuniaにおける脆弱性の危険度評価は5段階評価で下から2番目となる「Less Critical」にレーティングされているようですが、評価以上に深刻ではないかと感じられる今回のセキュリティホールです。

この記事へのコメント


この記事へのトラックバック

「Firefox」と「IE」にパスワード漏えいにつながる脆弱性
Excerpt:  Mozillaの「Firefox 2」およびMicrosoftの「Internet Explorer(IE) 7」に、攻撃者がパスワードを盗むのに悪用できる脆弱性が存在していることがわかった。  発..
Weblog: Te2MODE.COM
Tracked: 2006-11-24 21:49

当サイトにおけるプライバシーポリシー