brainsoftは、Mozilla/Firefoxにフレーム内に異なるサイトのページが表示可能となる脆弱性があることを報告した。この脆弱性は、2004/07/07日付けHotFix
Weeklyで既報のとおり、Internet Explorerなど多くのブラウザで脆弱性が確認されたものだ。その後、Mozilla 1.6/Firefox
0.8ではこの脆弱性が解消されていたが、Mozilla 1.7.x/Firefox 1.xで再発してしまったようだ。
・Secunia(Mozilla / Mozilla Firefox Frame Injection Vulnerability):
http://secunia.com/advisories/15601/
・HotFix Weekly 2004/07/07日付け(Internet Explorerのフレーム内に異なるサイトのページが表示可能となる脆弱性):
http://www.hotfix.jp/archives/alert/2004/news04-0707.html#02
Secuniaでは、この脆弱性を確認するための「Multiple Browsers Frame Injection Vulnerability Test」というWebページを用意している。Webページの指示に従って、2つのURLリンクをクリックすることで脆弱性の有無を確認可能だ。MSDNライブラリのフレームの中にSecuniaのページが表示された場合、脆弱性が存在することになる。
・Secunia(Multiple Browsers Frame Injection Vulnerability Test):
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
このようにフレームを使ったWebページの中に、任意のWebサイトのページが表示可能となるため、個人情報やクレジット番号などを不正に取得するフィッシングに悪用される危険性が高い。なお前述のようにInternet
Explorer 6 SP1も同じ脆弱性が指摘されていたが、現時点でも修正プログラムは提供されていない。すべての修正プログラムを適用した状態でも、この脆弱性が存在するので、Mozilla/Firefoxと同様、フレームを利用したWebページでは注意が必要になる。
|