Mozilla Foundation セキュリティアドバイザリ 2005-17
- タイトル
- 「ユーザ名:パスワード@ホスト名」を使ったダウンロード元 URL の偽装
- 重要度
- 低
- 危険度
- 低
- 報告者
- Phil Ringnalda
- 影響を受ける製品
- Firefox
- Thunderbird
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Thunderbird 1.0.2
- Mozilla Suite 1.7.6
概要
インストール確認ダイアログには、そのソフトウェアのダウンロード元が表示されます。本物のホスト名の前に、偽の長い「ユーザ名:パスワード」を付加することで、信用できないダウンロード元から送りつけられるソフトウェアを、信頼できるソフトウェアであるかのように思いこませることが可能です。これは、例えば「http://www.mozilla.org@attacker.com/install.xpi」など、フィッシングメールで使われるものに似ています。
Firefox は、デフォルトでは http://update.mozilla.org/ に限ってインストールを許可するため、この仕掛けを成功させるには、インストールを開始する前に、ユーザ自身が偽のホスト名を明示的に許可する必要があります。
回避策
- 信用できないサイトで確認ダイアログが表示された場合、ソフトウェアをインストールしてはいけません。
- インストール確認ダイアログを拡大し、最初の「/」という文字の前に「@」が含まれていないか確認してください。