![]()
|
|
![]()
「Firefox」に保存したパスワードが漏洩する脆弱性、修正パッチは未公開パスワードの保存機能をOFFにすることで脆弱性を回避できる
現在、Mozilla Foundationより本脆弱性に対応する「Firefox」のアップデート版やパッチは提供されていない。そのため本脆弱性を回避するには、「Firefox」のオプションにて、v2なら[セキュリティ]-[サイトのパスワードを記憶する]を、v1なら[プライバシー]-[パスワード]-[パスワードを記憶する]をOFFにする必要がある。また、「Firefox」の不具合情報を管理する“Bugzilla”によると、本脆弱性は「Fiefox」v2.0.0.1またはv2.0.0.2で修正される予定とのこと。 脆弱性の詳細は、「Firefox」が保存したパスワードを自動入力する際、ドメインが同じなら別のページでも自動入力の対象となってしまうというもの。このため、パスワード認証を行うWebサイトにおいて、同じドメインに誰でもHTMLを記述可能なページがあるような場合、攻撃の対象となる恐れがある。さらに、フォームの“hidden”属性などによりパスワード入力欄が隠された状態でも自動入力が働いてしまうため、気がつかないうちにパスワードが漏洩する危険性がある。
パスワード認証を行うようなWebサイトにおいて、第三者がフォームHTMLを記述できるようなケースはまれだが、もし細工が施された場合、URL自体は正規のサイトであるため、通常のフィッシング対策では気がつかない恐れがある。十分に注意が必要だ。
□Firefox Password Manager Information Disclosure - Advisories - Secunia (中村 友次郎)
|
|
|
||||||||||||||||||
![]() |