IEやFirefoxにダイアログボックスの脆弱性が？

Internet Explorer、Mozilla/FireFox/Camino、Opera、Safari、iCab といった世界中で使われているブラウザに、フィッシングに利用される可能性のある脆弱性が発見されました。

問題の概要は以下の通りです。

1. ユーザが、悪意を持ったWebサイトに接続

2. そのWebサイト上のリンクをクリック　（リンク先は信憑性のあるサイト）

3. リンク先のWebページが表示される

4. 表示されたWページからダイアログボックス（ポップアップ画面）が出現したように見える。

　 （実際にはダイアログは、リンク元の悪意のあるWebサイトが表示）

リンクをクリックすると同時に、ポップアップ画面を出すようなプログラム（JavaScript）が仕掛けられているんですね。

で、そのダイアログ画面には、誰が表示しているかの身元を示すものが何もないために、まるで今参照しているサイトが出しているかのように見えるわけです。

この問題を報告した、デンマークのSecuniaでは、この脆弱性のテスト用のページを作ってくれているので、以下でぜひ試してみてください。

■Multiple Browsers Dialog Origin Vulnerability Test

「Test Now – Left Click On This Link」をクリックすると、脆弱性のあるブラウザであれば、Googleのサイトが表示されると同時にダイアログボックスが表示されると思います。

仮に表示されなければ、そのブラウザには脆弱性はありません。

ちなみに、この脆弱性、今のところOperaのバージョン8.01と、iCabのVersion3.0ベータ版でしか対応していません。（2005.06.30時点）

Internet ExplorerやMozilla、FireFoxを利用している場合はこの脆弱性を利用したフィッシングにひっかかる可能性があるということです。

さて、この脆弱性を利用したフィッシングの対処方法なんですが、JavaScriptの知識のある人だったらソースを読めばわかると思います。

でも、いちいちソースを表示してられないですし、JavaScriptの知識のない人にはさっぱりわからないと思います。

ですので、現時点の対処方法としては、怪しいサイト上のリンクはクリックしないようにするか、Opera 8.01を利用するしか手はないです。

また、普段ダイアログボックスを表示しないサイトでは、入力ダイアログが表示されても入力しないことですね。

そのような場合は、直接URLを入力して同じ現象が起こるかどうかを確かめてください。