Mozilla Foundation セキュリティアドバイザリ 2005-13
- タイトル
- ウィンドウへのコンテンツ注入によるなりすまし
- 重要度
- 低
- 危険度
- 低
- 報告者
- Secunia
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
あるサイトによって開かれたポップアップウィンドウのターゲット名が分かっている場合、別のサイトがそのウィンドウにコンテンツを注入することが可能です。ユーザがその別のサイトを訪れようとしているのを攻撃者が予見できた場合、ポップアップウィンドウ内のコンテンツが偽装される可能性があります。
問題の修正により、開かれているウィンドウは、そのウィンドウ内にコンテンツが存在するサイトと、そのウィンドウを開いたサイト (これらは異なる場合もあります) に限って、名前での参照が可能になりました。別のサイトが同じ名前のウィンドウを参照しようとした場合、代わりに新しい名称未設定のウィンドウが開かれます。
回避策
- 信用できないサイトを訪れた後、信頼できるサイトを開かないでください。
参考資料
- http://secunia.com/advisories/13129/
- CAN-2004-1156
- https://bugzilla.mozilla.org/show_bug.cgi?id=273699