クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - Zero Day - ZDNet Japan

この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。
一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。
(中略)
脅威のシナリオについてMicrosoftMozillaの両方と議論し、両社はそれぞれ個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。
Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。
当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。

 どんだけ凄い脅威だ、と思ってたら追加情報が

なお、ZDNetのアップデートにはNoScriptの製作者Giorgio MaoneがZDNetの記者にあてたメールが掲載されており、それによるとNoScriptのデフォルトコンフィグでは危険な攻撃の大部分を防げるとのこと。さらに、「プラグイン」設定の「IFRAMEの禁止」オプションをオンにすることで、攻撃を100%防げるとしている。

いやぁ、NoScript様々、やなぁ。