■
■ Firefox/Mozilla セキュリティー3題
ちょっと 嫌な感じなのでFirefox/Mozilla な人はパッチを当てたほうがいいのかな?よくわかりません。サマリーだけ見ると軽視できないような気がします。bugzillaより。
- Image drag and drop allows to create executable files
- https://bugzilla.mozilla.org/show_bug.cgi?id=279945
- When dropping a javascript link to a tab, the script runs in the security context of the site currently displayed in the tab
- https://bugzilla.mozilla.org/show_bug.cgi?id=280056
- Using Flash and the -moz-opacity filter you can get access to about:config and make the user silently change values
- https://bugzilla.mozilla.org/show_bug.cgi?id=280664
ええと、Firefox1.0/Mozilla1.75で、画像ファイルをドラッグンドドロップすることで実行可能なファイルを生成、javascriptスキームのアンカーをタブの上にドロップすると見ているサイトと同じセキュリティー条件で(ドロップ先で)javascriptが起動してしまう、Flash と -moz-opacity フィルターを併用した工夫されたページを訪問すると知らないうちにabout:configの設定値を上書きされる、って読むのかな?いずれにせよセキュリティー的にヤバイような気がしますけど。
■ Firefox、Operaなど多くのブラウザで共通の欠陥発覚。アドレスバー、ステータスバー、SSLサーバ認証の偽装が可能
最近の多くのブラウザはInternational Domain Name( = 国際化ドメイン名 )をサポートしています。このサポート機能に欠陥があり、悪意ある攻撃者は罠をしかけたページに被害者を誘導することによりアドレスバー、ステータスバーや、SSLサーバ認証を偽装することが可能です。このような欠陥を持つことが知られているブラウザは現在のところ以下の通りです。
あなたのブラウザが大丈夫かどうかは以下のTESTページで確認をすることが出来ます。
対策としては現在のところ、信頼できないページのリンクを利用しないこと、アドレスバーに直接URLを入力すること、などです。IEを使えばいいですか?そうですか。(汗)
Mozilla系ならabout:config(prefs.js)でnetwork.enableIDN(boolean)をfalseにすることでアドレスの国際化ドメイン名のサポートをオフにできます。必要性をあまり感じないのでオフでもいいかな?ブラウザを再起動するとオンに戻ってしまうので対策としては弱いですね。
オリジナルのAdvisory、PoCは以下。
- The Shmoo Group - The state of homograph attacks
- The Shmoo Group - PoC - The state of homograph attacks
それにしても思わぬところにバグがあるものなのですねぇ。多言語化ってただでさえ難しいのに、大変ですねぇ。IEがセーフだったのはきちんと考慮されていた、ということでしょうか。いや、国際化ドメイン名に対応してなかっただけのようです。
