現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-54

Mozilla Foundation セキュリティアドバイザリ 2012-54

タイトル: 証明書警告ページにおけるクリックジャッキング
重要度:
公開日: 2012/07/17
報告者: Matt McCutchen
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 13
  Firefox ESR 10.0.6
  Thunderbird 13
  Thunderbird ESR 10.0.6
  SeaMonkey 2.10

概要

証明書警告ページを使ったクリックジャッキング攻撃の可能性が、セキュリティ研究者の Matt McCutchen 氏によって報告されました。中間者攻撃を仕掛ける攻撃者が、インラインフレームを使うことで、攻撃者自身の証明書エラー警告ページ (about:certerror) を、悪質なサイトによって表示された本当の警告ページの「例外を追加」ボタンが付いた状態で表示させることができました。こうした方法でユーザを騙すと、考えていたのとは別のサイトの証明書の例外を追加させることが可能でした。一度証明書の例外が追加されると、ユーザが接続していると考えているサイトとの通信が中間者攻撃を通じて傍受される恐れもありました。

参考資料