セキュリティ情報プロバイダのSecuniaは米国時間20日、Mozilla Foundationの複数のブラウザ、Opera、Linux用のKonquerorなどのタブブラウザに、共通する2つのセキュリティ問題が見つかったと発表した。また、このバグはMicrosoftのInternet Explorer用にサードパーティが開発する、タブブラウザ機能を追加するためのにプラグインにも存在するという。
このうち1つの欠陥は、タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。
「問題は、開発者が1つのアプリケーションウィンドウに多数のブラウザタブをつけることの重大性をよく考えなかったことにあると思う。彼らはその点に騙されたのだ」と、Secuniaの最高技術責任者(CTO)Thomas Kristensenは述べている。
Secuniaではタブ機能つきブラウザの利用者に対し、JavaScriptを使用不可にするか、あるいは十分信頼できないウェブサイトにアクセスする際には、別のタブウィンドウで信頼できるサイトを開いたままにしておかないように奨めている。
KDE Projectは、19日(米国時間)にリリースした最新バージョンのKonquerorでこの問題を修正している。また、Mozilla Foundationのエンジニアリング担当ディレクターChris Hoffmanは、この問題はFirefox 1.0出荷時には修正されるはずだと述べている。Firefox 1.0はあと2週間ほどでリリースされる見込み。Operaからはコメントが得られていない。
Microsoftのブラウザについては、「Http-equiv」という名で知られる別のセキュリティ研究者が、さらに深刻な2件の欠陥を発見している。その1つは、同氏が8月に見つけたドラッグ・アンド・ドロップの脆弱性から発展したもので、この欠陥が悪用されると被害者のコンピュータにHTMLコードを配置されるおそれがある。
Secuniaの勧告によると、1つめよりもさらに重大なもう1つの欠陥のほうは、Windows XP Service Pack 2(SP2)のセキュリティメカニズムを迂回してしまうという。この脆弱性を悪用されると、攻撃者にユーザーのコンピュータ上でHTMLコードを実行されるおそれがある。今月リリースされた最新のアップデートを適用しても、攻撃者がこの欠陥を悪用するのを防ぐことはできない。
この2つの脆弱性が一緒に悪用された場合、悪質なウェブサイトから、そこにアクセスしたユーザーのコンピュータにコードを配置/実行されてしまう可能性がある。この脆弱性は全く新しいものではなく、以前の脆弱性を少し変化させたものだ、とHttp-equivはメールに記している。
「これは単純だが、しかし複雑でもある--そして(実行するのは)かなり難しいだろう」とHttp-equivは述べている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」