JVNDB-2004-000517

JVNDB-2004-000517
Opera のクロスドメインセキュリティチェック機能におけるコンテンツ表示を制御される脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ Microsoft Internet Explorer 6.0 SP2 以前には、コンテンツを新しいウィンドウで開く際のクロスドメインセキュリティチェック機能に不備が存在するため、ある特定の Web サイトから新しく開かれたウィンドウの名前が既知である場合に、そのウィンドウを利用して異なる Web サイト上のコンテンツ表示を許してしまう問題が存在します。この問題を利用するリモートの攻撃者は、信頼のある Web サイトから開かれたウィンドウ (ポップアップウィンドウなどを含む) を、ユーザアカウントやカード情報の入力を指示するような悪意ある Web サイトのコンテンツで乗っ取り、結果として標的ユーザの重要な情報を奪取することが可能です。ただし、この問題を悪用する際には、信頼ある Web サイトを表示するウィンドウとは異なるウィンドウで悪意ある攻撃者の Web サイトを開かせておく必要があります。尚、Microsoft Internet Explorer (CAN-2004-1155) 以外に下記の Web ブラウザにおいても同様の問題が存在することが発見者より報告されています。・KDE Konqueror 3.3.2 以前 (CAN-2004-1158) ・Mozilla 1.7.5 以前 (CAN-2004-1156) ・Firefox 1.0 以前 (CAN-2004-1156) ・Netscape 7.2 以前 (CAN-2004-1160) ・Opera 7.54 以前 (CAN-2004-1157) ・Safari 1.2.4 以前 Microsoft Windows Server 2003 のデフォルトの設定では、Internet Explorer のセキュリティ強化の構成 (Enhanced Security Configuration) が有効であるため、この問題の影響を受けません。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Mozilla Foundation Mozilla Firefox 1.0 サイバートラスト株式会社 Asianux Server 2.0 Asianux Server 2.1 Asianux Server 3.0 ターボリナックス Turbolinux Server 7 Turbolinux Server 8 ヒューレット・パッカード HP-UX 11.00 HP-UX 11.11 HP-UX 11.22 HP-UX 11.23 マイクロソフト Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 5.5 Microsoft Internet Explorer 6 Microsoft Internet Explorer 6 for Windows XP Microsoft Windows Server 2003 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws)

想定される影響
本脆弱性に伴う影響については、「概要」をご参照ください。
対策
ベンダ情報及び参考情報を参照して適切な対策を実施してください。
ベンダ情報
Mozilla Foundation Mozilla Foundation Security Advisory : mfsa2005-13 Mozilla Foundation セキュリティアドバイザリ : mfsa2005-13 サイバートラスト株式会社ミラクル・リナックス株式会社 : Top Page （2007/01/04 現在本脆弱性に関する情報は確認できませんでした）ターボリナックスターボリナックス株式会社 : Top Page （2007/01/04 現在本脆弱性に関する情報は確認できませんでした）ヒューレット・パッカード HP Security Bulletin : HPSBUX01133 HP セキュリティ報告 : HPSBUX01133 マイクロソフトマイクロソフト株式会社 : Top Page （2007/01/04 現在本脆弱性に関する情報は確認できませんでした）レッドハット Red Hat Security Advisory : RHSA-2005:384 Red Hat Security Advisory : RHSA-2005:176 Red Hat Security Advisory : RHSA-2005:009 レッドハットセキュリティーアップデート : RHSA-2005:384 レッドハットセキュリティーアップデート : RHSA-2005:176 レッドハットセキュリティーアップデート : RHSA-2005:009
CWEによる脆弱性タイプ一覧 CWEとは?
インジェクション(CWE-74) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2004-1157
参考情報
National Vulnerability Database (NVD) : CVE-2004-1157 Secunia Advisory : SA13129 Secunia Advisory : SA13254 Secunia Advisory : SA13251 SecurityFocus : 11852 SecurityFocus : 11853 SecurityFocus : 11854 SecurityFocus : 11855 SecurityFocus : 11856 SecurityFocus : 11857 SecurityTracker : 1012458 SecurityTracker : 1012461 SecurityTracker : 1012457 Secunia Research : 08/12/2004
更新履歴
[2007年04月01日] 掲載


公表日	2004/12/08
登録日	2007/04/01
最終更新日	2007/04/01

Opera のクロスドメインセキュリティチェック機能におけるコンテンツ表示を制御される脆弱性