ダウンロードあるサイトを開いているウィンドウのフレーム内に、別ウィンドウで表示している他のサイトのページが埋め込み可能となる脆弱性。
深刻度は「Moderately critical(やや深刻)」。
◇「Firefox 1.0.4」「Mozilla 1.7.8」に“7年もの”の脆弱性が再発
◇MozillaやFirefoxに「7年越しの脆弱性」が復活--セキュリティ企業が警告 - CNET Japan
この脆弱性は2004年7月に公表されて、Firefox 0.9/Mozilla 1.7でフィックスされていました。
どこかで先祖がえりしちゃったみたいですね。
これはイメージダウンやなぁ。。。
Secuniaにはブラウザが脆弱性の影響を受けるかチェックできるページが用意されています。
◇Secunia - Multiple Browsers Frame Injection Vulnerability Test
上記サイトでチェックして、MSDNのページにSecuniaのデモページが注入されたらアウト。
Firefox1.0.4で、こんなイメージ。
自分のFirefox1.0.4は、普段タブ拡張でTabbrowser Preferences入れて、
「リンクを新規タブで開く」に設定しています。
なので、Secuniaのデモページは別タブで開くだけなのでセーフ。
心配な人は、タブ拡張を利用して、新規ウィンドウを開かないようにしておけばいいんではないでしょうか。(たぶん
このネタが役に立ったらポチッとな→
そういえばIEでも同じようなぜい弱性ってありませんでしたっけ?
>roppaさん
IEにもありますね。
放置されたままかと。
ま、緊急な脆弱性やないし。^^;
>マニ郎さん
はじめまして、
こちらこそヨロシクです。
私はTBEを入れているのですが、今回の脆弱性は回避できていました。ただ何が悪さをしているのか私の環境ではクリックでnew windowが開かないので手動でnew windowを開いて試したのですが・・・。
ちなみにIE6SP2ではしっかりMSDNのページにSecuniaのデモページが注入されました。(ブログに書いた通りでした^^;)
コメント&TBどうもです。
>new windowが開かない
それはそれで、気色悪いですね。^^;
やや深刻な脆弱性ですから、自分的には1.0.5なんてチョコチョコ出さずに、1.1に行ってくれぃと思います。
IEは7でフィックスされ..てるんですかね?