- 482 名前:名無しさん@お腹いっぱい。 [2008/09/27(土) 23:22:33 ID:2Ue38WOx0]
- Firefoxに致命的なセキュリティホールが発覚。
セキュリティパッチはいまだ用意されず全ユーザーが危険に晒されている。
mamono.2ch.net/test/read.cgi/newsplus/1222506048/
セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな
恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。
この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで
議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が
準備されるまではこの話題を公にすることが取りやめられていたものだ。
(中略)
参加者が限定されていたOWASPの発表に参加していた人物によれば、この問題は確かに
ゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクを
コントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。
この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。
これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上の
あらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。
(中略)
Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ
個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
(後略)
*+*+ ZDNET Japan 2008/09/27[**:**] +*+*
japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm
|
 |
