「Lunascape」に実行ファイル読み込みに関する脆弱性、6.4.3へ更新を


 脆弱性情報サイトの「JVN(Japan Vulnerability Notes)」は23日、Windows用ウェブブラウザー「Lunascape」のバージョン6.4.2以前において、実行ファイル読み込みに関する脆弱性があることを公表した。この脆弱性を修正したバージョン6.4.3がすでに18日にリリースされており、ユーザーに最新バージョンへのアップデートを呼び掛けている。

 JVNによれば、Lunascapeでは、拡張機能の1つである「スクリプト機能」を使用する際に特定の実行ファイルを読み込むが、その際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在するとしている。その結果、プログラムを実行している権限で任意のコードを実行される可能性があるという。

 Lunascape 6.4.3では、脆弱性の修正のほか、GeckoエンジンをGecko rv:1.9.1.16(Firefox 3.5.16相当)にするなどの変更や、不具合の修正なども行われている。

 JVNは、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が共同運営しているサイト。Lunascapeの今回の脆弱性情報は、1月26日にIPAが届け出を受け、JPCERT/CCがベンダーのLunascape株式会社と調整を行い、2月23日付で公表したもの。


関連情報


(永沢 茂)

2011/2/23 18:05