SEO Knowledgebase

Mozzilaのwebブラウザ「Firefox 2.0」にパスワード流出の脆弱性が発覚した。

これは、攻撃者がユーザー名やパスワードといったユーザー情報を盗むことを可能にする。パスワードマネージャに保存したパスワードおよびユーザー ネームをこのフォームに自動入力し、攻撃者に送信してしまう恐れがあるいう。米で人気ののSNS「My Space.Com」においてもこの方法で攻撃を受けたという。

発見したChapin Information Services（CIS）のロバート・チャピン氏によると、攻撃者が偽のログインフォームを使用して、ユーザー名とパスワードいったユーザー情報を盗む ことを可能にするとのこと。入力されたデータがユーザーの知らないうちに攻撃者へ送信される。チャピン氏はこれを「リバースクロスサイトリクエスト （RCSR）の脆弱性」と呼ぶ。

IEも同様に、ユーザー情報を送信する前にフォームのデータの送信先がチェックできる設定になっていないため、攻撃を受ける可能性があるという。し かし、Firefoxの場合は保存されたユーザー名とパスワードを自動的にRCSRフォームに送信してしまうが、IEの場合は正規のログインフォームと RCSRフォームが同じページに表示されないかぎり、保存していたユーザー名及びパスワードを自動入力することはないため、この問題は発生しないとチャピ ン氏。

Mozillaもこの問題を確認済みで、修正パッチを開発中だという。

対策としては、ウェブサーフィンを慎重にすることである。もしくは、修正パッチが開発されるまでパスワードマネージャの使用を避けることである。

Chapin Information Services
http://www.info-svc.com/

Popularity: 1% [?]

トラックバックURI http://seo.ds-style.com/firefoxfakeloginpages/trackback/