Firefoxにパスワードを盗まれる問題が発見されている。
Firefoxのパスワードマネージャを無効に |
「リバースクロスサイトリクエスト(RCSR)」と呼ばれる新しい脆弱性で、ユーザーがFirefoxにパスワードを保存している場合、画像等のリンクをクリックした時に別のサイトにパスワードを転送してしまう危険があるらしい。
なお、こういう邪悪なページにはユーザーが気付かないように隠しリンクが埋め込まれている可能性が高く、画像をクリックしなければ大丈夫などと油断してるとよからぬサイトに行っていると痛い目に遭うので、くれぐれも自戒されたい。
日経ITProの記事によると、これはドメイン名が同じであれば異なるページに対しても記憶したユーザー名/パスワードを適用しようとするFirefoxのパスワード・マネージャの振舞いにも問題があるそうだ。
修正プログラムについてはまだ作成中という事。取り敢えずの対策としてはFirefoxのパスワード・マネージャを禁止するしかない。
ITmediaの記事ではすでにMySpaceでこの問題を悪用した仕掛けが行われたらしいが、日経ITProの記事で指摘しているパスワード・マネージャの振舞いとは異なる気がするので、関連性の真偽の程は不明。
取り敢えずパスワード・マネージャを禁止するか、それができない場合は管理者以外が書き込みできるSNSや掲示板にはアクセスしない事だ。
【参照】
●ITmedia http://www.itmedia.co.jp/
┗Firefoxにパスワード流出の脆弱性――MySpaceで悪用の報告も 2006年11月23日
●日経ITPro http://itpro.nikkeibp.co.jp/
┗Firefoxにセキュリティ・ホール,記憶させたパスワードを盗まれる恐れ 2006年11月22日
●Bugzilla https://bugzilla.mozilla.org/
┗Bug 360493 - Cross-Site Forms + Password Manager = Security Failure
●Mozilla Japan http://www.mozilla-japan.org/
┗Firefox http://www.mozilla-japan.org/products/firefox/