現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-15

Mozilla Foundation セキュリティアドバイザリ 2010-15

タイトル: 非同期認証プロンプトが別ウィンドウに表示される
重要度:
公開日: 2010/03/23
報告者: Justin Dolske
影響を受ける製品: Firefox 3.6

修正済みのバージョン: Firefox 3.6.2

概要

新しい非同期認証プロンプト (HTTP ユーザ名・パスワード) が、本来のウィンドウに表示されない場合があることが、Mozilla 開発者の Justin Dolske によって報告されました。この問題はまだ実証できていませんが、悪質なページがユーザを騙して、新しいタブやポップアップに信頼できるサービスを開かせ、その上で、悪質なページからの HTTP 認証プロンプトをその信頼できるページへのログインプロンプトのように見せかけることが可能と思われました。実際には、HTTP 認証を使用している Web サイトは非常に少なく、代わりに Web フォームと Cookie が使用されていることから、この潜在的な攻撃は大幅に緩和されています。

この問題は、Firefox の旧バージョンや、古い Mozilla ブラウザエンジンを搭載している Thunderbird や SeaMonkey といった他の製品には影響しません。

参考資料