http://mamono.2ch.net/test/read.cgi/newsplus/1222506048/-100

セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな 恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。

この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。
(中略)
参加者が限定されていたOWASPの発表に参加していた人物によれば、この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。
この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。
これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。
(中略)
Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
(後略)
*+*+ ZDNET Japan 2008/09/27[**:**] +*+*
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm

「Physis (Sci/Tech/Health)」カテゴリの最新記事