現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-09

Mozilla Foundation セキュリティアドバイザリ 2016-09

タイトル: ロケーションバー偽装攻撃
重要度:
公開日: 2016/01/26
報告者: Jordi Chancel
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 44

概要

ロケーションバーの偽装に関する 2 件の問題が、セキュリティ研究者の Jordi Chancel 氏によって報告されました。

最初の問題は、Android 版 Firefox 上で重要度「高」と判定された、ページをスクロールさせる scrollTo() メソッドに関するセキュリティ脆弱性でした。この攻撃では、新しいタブが開かれた際に、本物のロケーションバーを画面外に隠し、攻撃者によって作られた偽のロケーションバーと置き換えるために scrollTo() が使われる恐れがありました。

2 つ目の問題は、デスクトップ版 Firefox に影響する、重要度「低」と判定されたセキュリティ脆弱性でした。この攻撃では、内部プロトコルで不正と見なされる URL がロケーションバーに貼り付けられた場合に、その時点で読み込まれているサイトの代わりに任意のサイトの場所を表示するよう、ロケーションバーの内容が改ざんされる可能性がありました。この問題は、表示された URL の先頭にそのプロトコルが付加され、実際のアドレスが末尾に付加された URL とは混同されにくいことから、影響は緩和されていました。

参考資料