FirefoxやMozillaに見つかった脆弱性がタブブラウザ「Lunascape」にも影響することがわかった。JPCERT/CCと情報処理推進機構セキュリティセンター(IPA/ISEC)が29日、共同運営する脆弱性情報の提供サイト「JP Vendor Status Notes(JVN)」で公表した。
公表された脆弱性は、MozillaのGeckoエンジンに由来するもの。JavaScriptで再読込なしにサーバーと通信できるようにする「XmlHttpRequest」オブジェクトの処理に脆弱性が存在し、通常、同一ドメインの通信しか行なえないJavaScriptの制限を回避できてしまう恐れがある。悪用されると認証情報やCookie情報が漏洩する可能性があるという。
JVNでは、Geckoエンジンを利用するWebブラウザに脆弱性が存在すると警告しており、Lunascapeが該当するとしている。開発元のルナスケープによると、LunascapeのGeckoエンジンプラグイン「Ver 1.00」「Ver 1.01」が該当。MozillaがGeckoエンジンの脆弱性にの対応を完了後、該当するプラグインをアップデートする予定だ。
なお、最新版の「Firefox 1.0.7」「Mozilla 1.7.12」では、この脆弱性は修正されている。
関連情報
■URL
脆弱性情報
http://jvn.jp/jp/JVN%2331226748/
■関連記事
・ 「Firefox」「Mozilla」に危険度の高い7件の脆弱性、最新版で修正済み(2005/09/26)
( 鷹木 創 )
2005/09/29 18:01
- ページの先頭へ-
|