★阿修羅♪ > IT10 > 137.html
 ★阿修羅♪
SafariとFirefox 2.0.0.5にパスワードが盗まれる脆弱性
http://www.asyura2.com/07/it10/msg/137.html
投稿者 えもたん 日時 2007 年 7 月 26 日 22:24:36: Sm8tIhLhKb2t2
 

http://www.itmedia.co.jp/enterprise/articles/0707/25/news039.html

Firefox 2.0.0.5にパスワードが盗まれる脆弱性
公開されたばかりのFirefox 2.0.0.5のパスワード管理に脆弱性があると報告された。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、被害を受ける可能性がある。
2007年07月25日 12時40分 更新

 Full-Disclosureメーリングリストに今週末投稿された記事によると、Firefoxの最新版であるFirefox 2.0.0.5のパスワード管理に脆弱性があり、悪意のあるWebサイトがユーザーのパスワードを盗むことができてしまうという。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、このセキュリティ弱点によって被害を受ける可能性がある。

 Mozillaチームは2006年11月に、今回の弱点と似ているがJavaScriptを必要としない弱点を修正していた。heise Securityには、その弱点に対する危険性のデモ/概念実証が用意されており、自分が危険かどうかを判断するのに利用することができる。

 11月の脆弱性はリバース・クロスサイト・スクリプティングと呼ばれ、MySpace.comで広く不正利用されたといわれている。

注意:本記事の発行後、MySpace.comはJavaScriptの投稿を許可していないという指摘を受けたので記事を修正した。読者の指摘は正しいが、ただし一部のブラウザでは結果的にJavaScriptを実行することになるような方法が存在したようだ。

 また、heise SecurityとMozilla開発者との間で行なわれた議論についての記事において、Firefoxによるパスワード管理の機能を削除したとしても、悪意のあるページがユーザーの入力した情報を盗むことができる可能性は残されるということが指摘されている。

 なおAppleのSafariにも同様の脆弱性がある。現時点での対処策としては、FirefoxでJavaScriptを無効にすることや、 JavaScriptを含んだページの投稿をユーザーに許可しているサイトではFirefoxのパスワード管理機能の使用を避けることなどがある。

 次へ  前へ


  拍手はせず、拍手一覧を見る

▲このページのTOPへ      HOME > IT10掲示板

フォローアップ:

このページに返信するときは、このボタンを押してください。投稿フォームが開きます。

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。