セキュリティ対策ベンダのSecuniaは、Internet Explorer(IE)においてIEのフレーム内に異なるサイトのページが表示可能となる脆弱性があることを報告した。Secuniaによれば、IE以外にも、MozillaやNetscape
6.x/7.x、Opera 5.x/6.x/7.xにも同じ脆弱性が存在するとしている。この脆弱性の有無は、Secuniaの「Multiple Browsers
Frame Injection Vulnerability Test」のWebページの指示に従って、2つのURLリンクをクリックすることで確認可能だ。MSDNライブラリのフレームの中にSecuniaのページが表示された場合、脆弱性が存在することになる。
・Secunia(Internet Explorer Frame Injection Vulnerability):
http://secunia.com/advisories/11966/
・Secunia(Multiple Browsers Frame Injection Vulnerability):
http://secunia.com/advisories/11978/
・Secunia(Multiple Browsers Frame Injection Vulnerability Test):
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
フレームを使ったWebページの中に、任意のWebサイトのページが表示可能となるため、個人情報やクレジット番号などを不正に取得するフィッシングに悪用される危険性が高い。また攻撃者が、マイクロソフトのWindows
Updateページのフレーム内に、Windows Updateページに偽装した攻撃用ページが表示されるように仕掛けることで、ウイルスなどをダウンロードさせるように仕向けることが可能になる。
・セキュリティ用語 フィッシング(phishing):
http://www.hotfix.jp/archives/word/2004/word04-08.html
DA Labの調査によれば、フレームを持つページに続けて、別のページをフレーム内(fraRightFrame)に表示させるような簡単なJavaScriptでも、場合によっては脆弱性の影響を受けた。JavaScriptを工夫することで、フレームを利用しているWebサイトならば、簡単に攻撃用ページを表示させることが可能だ。有名なショッピング・モールなどでも、フレームが利用されている場合は、フレーム内に表示されている各ページのプロパティをチェックした上で、個人情報の入力を行った方がよい(当該フレーム上でマウスを右クリックし、表示されるメニューの[プロパティ]を実行して、表示元のURLを確認する)。
なおこの脆弱性は、IE 3.x/4.xにおいて「TechNetセキュリティ:MS98-020(Patch Available for 'Frame
Spoof' Vulnerability)」で解消済みのものである。バージョン・アップにともない、脆弱性が復活してしまったようだ。
・TechNetセキュリティ MS98-020(Patch Available for 'Frame Spoof' Vulnerability):
http://www.microsoft.com/technet/security/bulletin/ms98-020.mspx
|