Mozilla Foundation セキュリティアドバイザリ 2008-40

タイトル: マウスドラッグの強制
重要度:
公開日: 2008/09/23
報告者: Paul Nickerson, Liu Die Yu
影響を受ける製品: Firefox, SeaMonkey

修正済みのバージョン: Firefox 3.0.2
  Firefox 2.0.0.17
  SeaMonkey 1.1.12

概要

Liu Die Yu 氏によって Internet Explorer に発見されたクリックハイジャック脆弱性の応用例が、Mozilla 開発者の Paul Nickerson によって報告されました。この脆弱性は、マウスがクリックされている間に、攻撃者がコンテンツウィンドウを動かすことを許してしまうもので、ある項目をクリックしたにもかかわらず、実際にはドラッグしてしまうという状況を引き起こします。この問題は、潜在的にはユーザにファイルをダウンロードさせたり、その他のドラッグ&ドロップ操作を実行させるのに利用される可能性がありました。

回避策

  1. オプション/環境設定ダイアログを開きます。
  2. [コンテンツ] タブを選択します。
  3. [JavaScript を有効にする] というチェックボックスの隣にある [詳細設定] ボタンをクリックします。
  4. [ウィンドウの移動または大きさの変更] というチェックボックスのチェックを外します。

参考資料