クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - Zero Day - ZDNet Japan(情報元のブックマーク数)
Javascriptではなくリンクをハイジャックできる脆弱性だそうです。OWASP NYC AppSec 2008カンファレンスで発表される予定だったが、あまりにも影響がでかくて中止されたそうです。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet Japan
OSSが先に対応しても、公開したら影響を発表するのと同じことになるので中間団体が管理しないといけませんね。
こりゃー悩ましい・・・
Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet Japan
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。