現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-83

Mozilla Foundation セキュリティアドバイザリ 2010-83

タイトル: ネットワークエラーページを用いたロケーションバー SSL 表示の偽装
重要度:
公開日: 2010/12/09
報告者: Michal Zalewski
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.13
  Firefox 3.5.16
  SeaMonkey 2.0.11

概要

ネットワークもしくは証明書のエラーページになるサイトが新しいウィンドウで開かれたとき、開いた元のサイトが開かれたウィンドウ内部のドキュメントへアクセスし、任意のコンテンツを注入できてしまうことが、Google のセキュリティ研究者 Michal Zalewski 氏によって報告されました。攻撃者はこのバグを利用してロケーションバーを偽装し、ユーザに実際のサイトとは異なるサイトを開いていると思い込ませることが可能でした。

参考資料