NTTデータ・セキュリティ株式会社は12月22日、Firefoxのlocationオブジェクト処理に確認された脆弱性(CVE-2009-3985)に関する検証レポートを公開した。この脆弱性は、細工されたHTMLファイルを閲覧した場合に、ブラウザのアドレスバーに表示されるURLを詐称される危険性があるというもの。この脆弱性により、フィッシングによってユーザ情報やクレジットカード情報などを窃取される危険性がある。 同社では、Firefox 3.0.15がインストールされたWindows XPをターゲットシステムとして、細工されたHTMLファイルを表示することでアドレスバーに表示されるURLを詐称する検証を行った。この結果、ターゲットシステムのブラウザのアドレスバーに詐称したURL(https://www.google.com/)が表示され、偽サイト(http://10.100.0.130/firefox/CVE-2009-3985.html)のコンテンツの表示に成功した。 http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091222.pdf
