セキュリティに関するニュースを淡々と伝えるスレ2
●クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 (ZDNet, 9/26
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm
「クリックジャッキング」という新たな脅威が存在しているという警告が出ている。これはすべての主要なブラウザに影響のあるもので、簡単には修正できないものだという。
セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。
クリックジャックングとは実際にはどういうものなのだろうか。 残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。
この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。
この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフ
にしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他
あらゆるものをユーザーには見せないままクリックすることができる。
もしこれでもその怖さが分からなければ、平均的なエンドユーザーはクリックジャッキングを受けている間、
なにが起こっているかまったく分からないだろうということを考えてみて欲しい。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた
当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm
「クリックジャッキング」という新たな脅威が存在しているという警告が出ている。これはすべての主要なブラウザに影響のあるもので、簡単には修正できないものだという。
セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。
その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。
クリックジャックングとは実際にはどういうものなのだろうか。 残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。
この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。
この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフ
にしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他
あらゆるものをユーザーには見せないままクリックすることができる。
もしこれでもその怖さが分からなければ、平均的なエンドユーザーはクリックジャッキングを受けている間、
なにが起こっているかまったく分からないだろうということを考えてみて欲しい。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた
当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ。
|
|
|