Internet Watch logo
記事検索
最新ニュース

Mozilla、Firefox、Netscapeに共通する3つの脆弱性〜Secuniaが指摘


 デンマークのSecuniaは、Mozilla、Firefox、Netscapeに共通する脆弱性を警告した。いずれも危険度は5段階中下から2番目の“Less critical”。

 公表された脆弱性は3件で、セキュリティ機能の迂回やクロスサイトスクリプティング、データの改ざんに悪用される可能性がある。Mozilla 1.7.5、Firefox 1.0、Netscape 7.2で確認されており、Secuniaでは「ほかのバージョンにおいても影響があるだろう」としている。

 1つ目の脆弱性は、Mozillaなどのブラウザでは通常、HTTPヘッダを参照して画像ファイルを認識するが、ドラッグアンドドロップで画像を保存した場合に、その画像を示すURLの拡張子を参照してしまうというもの。悪意のあるスクリプトが埋め込まれた画像を任意の拡張子で用意して、ドラッグアンドドロップでダウンロードするよう促すケースも考えられるという。

 2つ目は、「javascirpt:」から始まるURLを、ほかのタブにドラッグするときのURIハンドラが検証不足のために発生する。Webサイトを閲覧している最中に危険なリンクを別のタグにドラッグするよう促され、任意のHTMLやスクリプトが実行されてしまう可能性もある。

 3つ目は、プラグイン経由で読み込まれたURIハンドラの制限のエラーが原因だ。Mozillaなどのブラウザでは、アドレスバーに「about:config」と入力すると設定が可能だが、この脆弱性を悪用すると、こうした特定のURLが実行されてしまう。悪意のあるWebサイトでは、重要な設定を変更させるようにユーザーを騙す可能性もあるという。

 これらの脆弱性をSecuniaに報告したmikxによれば、MozillaとFirefoxについてはベンダーへの報告を済ませた。Bugzillaにおいても「修正済み」ステータスになっており、mikxでは「修正版のFirefox 1.0.1を待つか、公開中の最新Nightly Build(ベータ版に相当)を利用するように」と勧めている。なお、SecuniaではNetscapeに関しては、ほかのブラウザを利用するよう呼びかけている。


関連情報

URL
  Secuniaのアドバイザリ(Mozilla/Firefox、英文)
  http://secunia.com/advisories/14160/
  Secuniaのアドバイザリ(Netscape、英文)
  http://secunia.com/advisories/14206/


( 鷹木 創 )
2005/02/10 20:51

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.