Mozilla Foundation セキュリティアドバイザリ 2006-61
- タイトル
- document.open() を使ったフレームのなりすまし
- 重要度
- 低
- 公開日
- 2006/09/14
- 報告者
- shutdown
- 影響を受ける製品
- Firefox
- SeaMonkey
- 修正済みのバージョン
- Firefox 1.5.0.7
- SeaMonkey 1.0.5
概要
targetWindow.frames[n].document.open() を使って他のサイトの子フレームにコンテンツを挿入し、攻撃者のコンテンツを対象サイトの一部に見せかける方法が、shutdown 氏によって実証されました。MFSA 2005-51 に類似した問題です。
回避策
この攻撃が成功するには、対象サイトがまず、悪質なサイトによって新しいウィンドウ (またはタブ) に開かれていなければなりません。他のサイトによって「親切に」開かれたウィンドウに、パスワードなどの機密情報を入力してはいけません。他のサイトが参照していない、信頼できる新しいウィンドウを開くには、必ずファイルメニューのオプションを使ってください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=343168
CVE-2006-4568