Internet Watch logo
記事検索
最新ニュース

MozillaとFirefox、ダウンロード時のダイアログボックスに脆弱性


 デンマークのSecuniaは4日、MozillaとFirefoxにファイルをダウンロードする際のダイアログボックスに関する脆弱性を報告した。危険度は5段階中下から2番目の「Less critical」となっている。

 発見された脆弱性は、ファイルをダウンロードする際のダイアログボックスにおいてURLが先頭部分しか表示されないため、長いサブドメインを利用することでダウンロード先を他のサイトのように偽装できるというもの。脆弱性は最新版のMozilla 1.7.5およびFirefox 1.0で確認されており、Secuniaでは信頼できないサイトからファイルのダウンロードを行なわないように呼びかけている。

 また、Secuniaでは12月30日に、Mozillaの「MSG_UnEscapeSearchUrl」関数についてバッファオーバーフローの脆弱性を報告した。危険度は5段階中上から2番目の「Highly critical」。

 この関数はNNTPの処理に関するもので、攻撃者が「news://」から始まる長いURLを指定することでユーザーのPCを停止状態にすることができ、さらにこの脆弱性を応用することでユーザーのPCに対して任意のコードを実行させる可能性もあるとしている。この脆弱性は、最新版のMozilla 1.7.5では解消されているため、SecuniaではMozillaのユーザーに対してバージョン1.7.5にアップデートするよう呼びかけている。


関連情報

URL
  脆弱性情報(ダイアログボックスのURL偽装、英文)
  http://secunia.com/advisories/13599/
  脆弱性情報(MSG_UnEscapeSearchUrl関数オーバーフロー、英文)
  http://secunia.com/advisories/13687/


( 三柳英樹 )
2005/01/06 11:36

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.