Webブラウザで一部のターゲットフレームに別のサイトを表示できてしまう問題が指摘されている。この問題を悪用してオンラインバンキングサイトの入力エリアを偽装したりすればIDとパスワードを簡単に取得する事が可能になり、危険性はかなり高い。
早速検証ページで確認したところ、Internet Explorerと、Opera 7.23日本語版、7.51英語版においてこの問題が再現する一方で、Mozilla 1.7日本語版、Mozilla Firefox 0.9.1日本語版ではこの影響を受けない。
これはブラウザのバグと言うよりHTML言語規格の不用意なルーズさに起因する問題であり、Webブラウザの実装(ベンダーの思想)に左右されているものと思われるので、HTMLフレームをサポートしているブラウザフォン、WebTV、セットトップボックス等にも影響を受けるものがあるかもしれない。
ちなみにInternet Explorerではセキュリティ設定にある「異なるドメイン間のサブフレームの移動」という項目を無効にする事で制限できる。またインターネットゾーンのセキュリティを高にする事により同じ設定が適用されるので安心だ。
こちらの施策もサイトによってはオペレーションに影響を受ける恐れがあるが、そもそもフレーム内に別ドメインを表示するサイトなんてお粗末にも程がある。即刻切捨てるべし。
【参照】
●ITmedia http://www.itmedia.co.jp/
┣IEにまた脆弱性、旧バージョンでは修正済みだがIE5/6には影響 2004年7月1日
┗フレーム詐称の問題はIE以外のWebブラウザにも 2004年7月2日
●日経IT Pro http://itpro.nikkeibp.co.jp/
┣IEにセキュリティ・ホール,フレーム中に任意のコンテンツを表示させられる 2004年6月30日
┗MozillaやOperaなどにも,フレーム中に任意のコンテンツを表示させられるセキュリティ・ホール 2004年7月2日
●Secunia http://secunia.com/
┗SA11978:Multiple Browsers Frame Injection Vulnerability 2004年7月1日