記事登録
2009年02月02日(月) 09時04分

『Google Chrome』と『Firefox』にクリックジャック攻撃の脆弱性japan.internet.com

セキュリティ研究者の Aditya Sood 氏が1月29日午前、セキュリティ関連のメーリングリストで報告したところによると、Web ブラウザの『Google Chrome』に、クリックジャック攻撃を引き起こす脆弱性が存在するという。Sood 氏は我々のために概念実証コードを作成しており、これを実行したところ『Firefox 3.0.5』でも同じ問題が確認された。

プラグインの『NoScript』を無効にして (本来、NoScript は絶対に有効にしておくべきだが) Firefox を実行すると、少なくとも筆者がテストした Firefox 3.0.5 ではこの問題が発生した。『Google Chrome 1.0.154.46』(最新の安定版) でこの概念実証コードを試しても、やはり同じ問題が起こった。

一方、Microsoft の『Internet Explorer』(IE) への影響は確認されなかった。ただし、これは『IE 7』についてのことで、『IE 8』の新しいクリックジャック攻撃防止機能を試したわけではない。これは JavaScript の検証の問題だ。

これは些細な脆弱性だが、悪用するにはユーザー側の行動 (クリック) が必要となる。つまり、ユーザーが改ざんされたサイト (あるいは何らかの悪意を持ったサイト) を訪問している必要があるわけだ。そうでなければ、攻撃者がこのようなやり方で見えないボタンなどを配置する理由がない。

また、概念実証コードが示すように、この攻撃がユーザーの認証情報を「盗む」ことは (今のところ) ないが、より巧妙で複数の悪用を組み合わせたフィッシング攻撃に利用される可能性は十分にある。

【関連キーワード】
クリックジャック攻撃 | クリックジャック攻撃防止機能
【関連記事】
Ubiquityを使った簡単なFirefoxアドオンの作成
Google、開発者向け更新版『Google Chrome 2.0.157.2』をリリース
Mozilla、『Snowl』バージョン0.2をリリース

http://headlines.yahoo.co.jp/hl?a=20090202-00000005-inet-sci

最新のニュース記事一覧
お問い合わせ