全てのブラウザが影響を受ける新たな脅威『クリックジャッキング』
「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か(ITmediaNews9/29)
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告(ITpro9/29)
何やら『クリックジャッキング』とかいう新しいブラウザの脅威が見つかったそうな。
なんでも全てのブラウザに影響がある上に従来の多くの脅威の元凶でも合ったJavaScriptとは無関係で、ブラウザの動作する仕組みに関わる根本的な欠陥が原因なんだそうな。
しかも簡単なパッチでは修正することができない、とリンク先に書かれており、普段から対応が超遅いIEなどでは長期に渡って危険な状態が続く可能性も否めない状況ではないかと。
この欠陥を悪用すると、ユーザーが悪意のあるページを訪れただけで、ユーザーが気付かない内にその攻撃者はそのページ上のあらゆるリンクやボタンやその他いろんなモノをクリックできるんだとか。またこの攻撃のキーはJavaScriptなどと無関係だが、ページ上のJavaScriptやFLASHを絡めて悪用することも出来るそうな。リンク先記事によると『FLASHゲームのようなものはこの攻撃に最適だ。』とのこと。
またMicrosoftとMozillaは「これが難しい問題であり、すぐに実現できる簡単な解決方法はない」とコメントしたとリンク先記事では明らかにしており、またver8を含むIE最新版とFirefox3がこの影響を受けることが確認されているらしい。
現状で出来る対策としてはスクリプト機能やプラグインなどを無効化することだけだそうな。
全てがわからない状況ではあるが、これは非常に危険なモノよね。
どうもJavaScriptなどに起因するような周辺部分の仕様の欠陥ではなく、おそらくはブラウザエンジンなどの根幹部に何らかの欠陥があるってことなんだろうが、その脆弱性の範囲がとても恐ろしい。
だってあれだべ、この脅威を悪用したページにアクセスすればだ、クリックして実行できるような類のモノをユーザーが認知できない状態で勝手に行なえるってことだべ。
てことは、どんだけいろんな悪用のされ方をするんだかと想像したくないほどの悪用範囲になるわけよね。
いやもうちょっとね、これはホントにまずい脅威よね。
昨今では真っ当なサイトでも悪意ある攻撃を受けてウイルス感染なんてケースもあるぐらいだし、ちょっとこれは本当にPCのバックアップを取っておかないとやばいような状態なのかも知れません。
みなさまもお気をつけ下され。