脆弱性の概要
非アクティブなタブ内のWebページ上で表示されるはずのダイヤログボックスがアクティブなタブのWebページ上に表示されてしまう.
ダイヤログボックスに入力したデータは非アクティブなタブのWebページに送信されてしまう.
これによって,信頼できるWebサイトへデータを送信したように見せかけることができる.
脆弱性の根本的原因
JavaScript機能ではなく,同一ウィンドウ内に複数のWebページを表示できる「タブ切り替え」機能に潜んでいる.
脆弱性確認ページ
Secunia - Multiple Browsers Dialog Box Spoofing Testhttp://secunia.com/multiple_browsers_dialog_box_spoofing_test/
Secunia - Multiple Browsers Form Field Focus Test
http://secunia.com/multiple_browsers_form_field_focus_test/
Reference
窓の杜 - 2004-10-21http://www.forest.impress.co.jp/article/2004/10/21/tabbrowsersecad.html