Mozilla Foundation セキュリティアドバイザリ 2005-23
- タイトル
- ダウンロードダイアログに表示されるダウンロード元 URL の偽装
- 重要度
- 低
- 危険度
- 低
- 報告者
- Jakob Balle (Secunia)
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
最も重要な部分の表示が省略されるぐらい長いホスト名を用いることで、実際のダウンロード元が偽装される可能性があります。サブドメインに改行なしスペースが含まれていた場合、Windows では、このなりすましはより一層説得力を持ちます。
回避策
- 信頼できないサイトからファイルをダウンロードしてはいけません。
- ダウンロードダイアログに、現在自分が開いているサイトとは異なるサイトのファイルが表示されていた場合は疑ってください。
- ダウンロード元が信頼できるサイトであった場合、その第三者のリンクを信頼せずに、自分でそのサイトを訪れて、ロケーションバーにアドレスを直接入力してファイルを入手してください。