Mozilla Foundationは、「Mozilla」「Firefox」「Thunderbird」に複数の脆弱性が存在していると発表した。最新版の「Firefox 1.0 Preview Release(PR)」「Mozilla 1.7.3」「Thunderbird 0.8」で修正している。
今回発表したのは全部で11の脆弱性。そのうち重大度“危険”で、危険度“高”と判定されたのは、「非ASCII文字を含んだ長いリンクの処理に関するバッファオーバーフローの脆弱性」「BMPファイルの処理に関するバッファオーバーフローの脆弱性」「vCardの処理に関するバッファオーバーフローの脆弱性」の3つ。いずれも外部から任意のコードを実行することができる。
このほかにも外部から任意のコードを実行できる脆弱性は、「nsMsgCompUtils.cpp」の境界エラーによる「Webサイト上からの『ページを送信する』機能に関する脆弱性」や、「nsPop3Protocol.cpp」の境界エラーによる「悪意のあるPOP3サーバーからの返信に関する脆弱性」などがある。
Javascript関連では、リンクを別のウインドウやフレームにドラッグする際に発生するクロスサイトスクリプティングの脆弱性や、クリップボードの文字列が外部に漏えいしてしまう脆弱性なども指摘されている。
関連情報
■URL
Known Vulnerabilities in Mozilla(英文)
http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.3
■関連記事
・ Mozillaの次世代軽量ブラウザ「Firefox」が“ほとんど”「1.0」に(2004/09/15)
( 鷹木 創 )
2004/09/15 16:49
- ページの先頭へ-
|