Mozilla Foundation セキュリティアドバイザリ 2007-04
- タイトル
- 任意のカーソルと CSS3 hotspot を利用したなりすまし
- 重要度
- 低
- 公開日
- 2007/02/23
- 報告者
- David Eckel
- 影響を受ける製品
- Firefox
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.2
- Firefox 1.5.0.10
- SeaMonkey 1.0.8
概要
巨大な、主に透明の任意のカーソルを用いた上で、CSS3 の hotspot プロパティを調整することで、カーソルの表示される部分がブラウザのコンテンツエリアからはみ出る問題を利用して、ホスト名やセキュリティ表示など、ブラウザの UI 要素をなりすませることが、David Eckel 氏によって報告されました。
この機能は Firefox 1.5 で取り込まれたものであり、Mozilla 1.7 をベースとした製品や Firefox 1.0 など以前のバージョンには影響しません。
回避策
こうしたなりすましは、ブラウザの外観をカスタマイズすることで、より区別しやすくなります。ツールバーの何もない部分を右クリックして [カスタマイズ] を選択し、ボタンやその他のアイテムを移動、追加、削除してください。
参考資料
CVE-2007-0779
https://bugzilla.mozilla.org/show_bug.cgi?id=361298