過去ログ表示


過去ログ 139 を表示

トピック内全 17 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

Mozilla / Firefox / Camino Dialog Origin Spoofing Vulnerability
(#22081) このトピック中1番目の投稿
(環境: OS2/Firefox1.0)

2005/06/22(Wed) 23:06:51 編集(投稿者)

http://secunia.com/advisories/15489/

Dialog Origin Spoofing VulnerabilityがSecuniaによって報告されています。悪意のあるサイトにあるリンクをクリックすると、正規サイトが表示されたあと、悪意あるサイトのkコンテンツが重ねて表示されるというものらしいです。
百聞は一見にしかず。デモページで遊んでみましょう。
http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/

Start the test:
Test Now - Left Click On This Link

にあるリンクをクリックして、新しいウィンドウでGoogleサイトを表示させます。するとちょっと遅れて「Googleによるセキュリティ調査」なるJavaScriptのダイアログボックスが出てきたら、この脆弱性が存在する(つまりアウト:( )ということです。
Secuniaによりますと、Mozilla 1.7.8、FireFox 1.04そしてCamino0.8.4で確認されています。また手元のDeer Park Alpha 1(20050620)でも確認できました。

現時点での対策は、「Firefoxで個人情報を入力するような場合には怪しげなサイトにアクセスしない(Do not browse untrusted web sites while browsing trusted sites.)」というものです。タブで開いた場合は大丈夫みたいなのですが、念には念を、ということで。

こんな手にひっかかることもないかと思いますが、いちおうこんな情報があったという話でした。Firefox 1.0.5のリリースもそろそろ?


Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8b2) Gecko/20050620 Firefox/1.0+
↑ UserAgentのみ変更しますた :D

(環境: Win2000/Firefox1.0.4)

> Dialog Origin Spoofing VulnerabilityがSecuniaによって報告されています。
(中略)
> http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/

ふ〜む... でも、ダイアログボックスで情報を聞いてくるサイトって、
メジャーどころでは殆ど無いですから、まずその時点で“怪しい”ですね^-^;
ポップアップウィンドウで訊かれるのは、確かに無いとは言えませんが、
きちんとしたサイトなら、個人情報などはメインウィンドウで
入力を求めるでしょうから、たぶんこの脆弱性に関しては
その辺りを一つの判断基準にできるのではないかと思います.
ウェブ散策に不慣れな人にとって、この手法の危険性が高いのは
言うまでもありませんが、そういう人達を釣るのは
何もこんなに手の込んだ仕掛けでなくともそれなりに
できてしまいそうにも思えますので、総合的に見た危険性というのは
それほど高くないのではないでしょうか.

それを考えますと、いずれ修正リリースはあるとしても、
緊急リリースとまではならない気もします.

> また手元のDeer Park Alpha 1(20050620)でも確認できました。

Deer Parkは、確か、JavaScriptで新たに作成したウィンドウに開かれるページも
タブに向ける事ができた様な気がしますが、そういった各種新機能を使っても
脆弱なままでしょうか?
私も後ほど、Deer Parkでも試してみる事にしますが、今は1.0.4ですので...

(環境: Win2000/Firefox1.0)

>>また手元のDeer Park Alpha 1(20050620)でも確認できました。
>
> Deer Parkは、確か、JavaScriptで新たに作成したウィンドウに開かれるページも
> タブに向ける事ができた様な気がしますが、そういった各種新機能を使っても
> 脆弱なままでしょうか?
> 私も後ほど、Deer Parkでも試してみる事にしますが、今は1.0.4ですので...

デフォルトのままのシングルウィンドウモードならタブで開きますが、ダイアログ自体は出てしまいます。
まあ、アドレスバーにhttp://www.google.com.secunia.com/tests/origin_spoof.phpなんて出てますから、まず引っかからないとは思いますが。

Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8b2) Gecko/20050620 Firefox/1.0+

(環境: WinMe/Firefox1.0)

Fx 1.0.5でも結果は同様でした。

#余談ながら、Mac用のWebブラウザ iCab3.0 b280ではダイアログボックス内にアドレスを表示させる(google.com.secunia.com)という手を使っていました。
Webブラウザ側の対策といってもこのぐらいしかないように思います。

基本的には使用者の問題でしょうがググればいくらでも紛らわしいサイトがありますので、いやはや......

Mozilla/5.0 (Windows; U; Win 9x 4.90; ja; rv:1.7.9) Gecko/20050620 Firefox/1.0.5

(環境: WinXP SP2/Firefox1.0)

> Firefox 1.0.5のリリースもそろそろ?

今回の脆弱性とは関係ないような気もしますが、
もじら組のトップページには、昨日には既に
【最新情報】Firefox/Thunderbird 1.0.5がまもなく来る予定。
って書いてありましたよ!

Firefox 1.0.5 test builds available
らしいです。
http://weblogs.mozillazine.org/qa/archives/2005/06/firefox_105_tes.html

Re[4]: 基本的には使用者の問題
(#22121) このトピック中6番目の投稿
(環境: OS2/Firefox1.0)

ですね :D

> ググればいくらでも紛らわしいサイトがありますので、いやはや......

といっても所詮フィッシングに使われる脆弱性ですから,個人的な情報(ID/password,名前,クレジットカード番号など)をFirefoxで入力するような時だけ特に気をつけたい問題かと思います。

なおITmediaの記事だったと思いますが,現時点でこの脆弱性が修正されているのはOpera 8.01だけのようです。ところでSecuniaの別のページでは先月ベンダーに連絡したとなっていますが,Bugzillaへのリンクがないのが気になりましたです。 :?

Re[4]: 基本的には使用者の問題
(#22122) このトピック中7番目の投稿
(環境: OS2/Firefox1.0)

ですね :D

> ググればいくらでも紛らわしいサイトがありますので、いやはや......

といっても所詮フィッシングに使われる脆弱性ですから,個人的な情報(ID/password,名前,クレジットカード番号など)をFirefoxで入力するような時だけ特に気をつけたい問題かと思います。

なおITmediaの記事だったと思いますが,現時点でこの脆弱性が修正されているのはOpera 8.01だけのようです。ところでSecuniaの別のページでは先月ベンダーに連絡したとなっていますが,Bugzillaへのリンクがないのが気になりましたです。 :?

(環境: Win2000/Firefox0.9)

> > Firefox 1.0.5のリリースもそろそろ?
>
> もじら組のトップページには、昨日には既に
> 【最新情報】Firefox/Thunderbird 1.0.5がまもなく来る予定。
> って書いてありましたよ!
>
> Firefox 1.0.5 test builds available
> http://weblogs.mozillazine.org/qa/archives/2005/06/firefox_105_tes.html

http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2005-06-20-04-aviary1.0.1/
Win/Mac版は此処にあるのがそうらしいですね.
正式リリースはいつ頃になるのでしょう...
どうせなら、件の脆弱性に対しても、幾らかは対処しておいて欲しい気もします.

Re[5]: 基本的には使用者の問題
(#22130) このトピック中9番目の投稿
(環境: WinXP SP1/Opera8)

> なおITmediaの記事だったと思いますが,現時点でこの脆弱性が修正されているのはOpera 8.01だけのようです。

Opera 8.01 でも、残念ながら、
Please enter a test "password" string の画面が開きます。

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.01

Re[6]: 基本的には使用者の問題
(#22140) このトピック中10番目の投稿
(環境: Win2000/Firefox1.0)

2005/06/23(Thu) 10:51:07 編集(投稿者)

> > なおITmediaの記事だったと思いますが,現時点でこの脆弱性が修正されているのはOpera 8.01だけのようです。
>
> Opera 8.01 でも、残念ながら、
> Please enter a test "password" string の画面が開きます。
>
> Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.01

Secuniaに

Result
You are vulnerable, if a JavaScript dialog box appears in front of the Google.com web site without displaying information about its origin.
You are not vulnerable, if you do not experience the above behaviour.

とあるとおり、ダイアログが出ることは避けられません。
これ自体はまったく正常の挙動です。
問題は、そのダイアログの出自が示されるかどうかです。
(今回のテストならhttp://www.google.com.secunia.com/tests/origin_spoof.phpが出していることが明示されているかどうか)
今のところ対策がされているのはOpera8.01とiCab3.0betaだけのようです。
Mozillaでどうなっているか気になるのですが、Bugzillaでそれっぽいのを見つけられませんでした。

#今回iCabはbetaで対策がとられているということでSolution StatusがVendor Patchになってるけど、
#Mozillaはこの前のFrame Injectionの件はNightlyでfixされてるのにUnpatched...


[ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


- Child Tree -