- Chapin Information Services
- Firefox Password Manager Information Disclosure - Advisories - Secunia
- Netcraft: MySpace Accounts Compromised by Phishers
- 「Firefox」と「IE」にパスワード漏えいにつながる脆弱性--マイスペースも攻撃に - CNET Japan
現時点で影響を受けるのは「Firefox 1.x」「Firefox 2.0.0」と伝えられており、Mozilla Foundationより今後リリース予定とされるVer.2.0.0.1、或いはVer.2.0.0.2において修正予定との事。また、Internet Explorerでも同一の脆弱性が指摘されているようですが、Firefoxが保存されたユーザ名とパスワードを自動的にRCSRフォームに送信してしまうのに対し、Internet Explorerは正規のログインフォームとRCSRフォームが同一ページに存在しない限り問題は発生しないと伝えられています。
尚、Firefox、Internet Explorer共に情報送信前にフォームデータの送信先をチェック可能な設計になっておらず、ブラウザのアドレスバーには信頼できるサイトのURLが表示されるため、攻撃の成功確率が高いとの事。現時点での回避策としてパスワードマネージャの無効化が挙げられており、Secuniaにおける脆弱性の危険度評価は5段階評価で下から2番目となる「Less Critical」にレーティングされているようですが、評価以上に深刻ではないかと感じられる今回のセキュリティホールです。
この記事へのコメント