Mozilla Foundation セキュリティアドバイザリ 2005-54
- タイトル
- JavaScript プロンプト生成元の偽装
- 重要度
- 低
- 報告者
- Secunia.com
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.5
- Mozilla Suite 1.7.10
概要
Web ページ内のスクリプトによって生成される警告やスクリプトが、「JavaScript アプリケーション」という総称的なタイトルで表示されるため、どのサイトによって生成されたものか見分けが付かなくなる場合があります。悪質なページが、信頼できるサイトの上にプロンプトを表示して、パスワードなどの情報をユーザから聞き出そうとする可能性があります。
修正版では、これらのプロンプトのタイトルに生成元のページのホスト名を表示するようになりました。
回避策
「JavaScript アプリケーション」プロンプトに機密情報を入力してはいけません。機密情報を入力する際にそうしたプロンプトが使われることはまずあり得ません。どうしても入力しなければならないときは、プロンプトをドラッグして移動し、その裏に小さなウィンドウが隠されていないかどうか確認してください。