ノルウェーのOpera Software ASAは10日、Webブラウザ「Opera」のセキュリティアップデート「7.54u1」を公開した。7.54を含む従来バージョンにあった複数の脆弱性が修正されている。Windows、Mac OS X、Linux、FreeBSD用などがダウンロードできるが、13日時点では英語版のみが提供されている。
7.54u1ではまず、ポップアップウィンドウが悪意あるWebサイトによって乗っ取られてしまう脆弱性が修正された。これはデンマークのセキュリティベンダーであるSecuniaが8日付で報告していたもので、OperaのほかにもInternet Explorer(IE)、Netscape、Mozilla、Firefox、Safari、Konquerorなど複数のWebブラウザで確認されていた。
さらに7.54u1では、ファイルダウンロードダイアログを偽装できる脆弱性も修正されている。ファイル名にピリオド、Content-Typeヘッダに空白が含まれる場合に十分なチェックが行なわれないままダイアログが表示されるため、実行ファイルをPDF文書などに見せかけることが可能だったという。この脆弱性は、同じくSecuniaが10日付で報告していたもので、Windows用のOpera 7.54で確認されていた。
このほか、悪意あるJavaScriptやJavaアプレットでSun Javaの脆弱性を突くことによって、ログオンしているユーザー名やインストールディレクトリのパスが漏れてしまう脆弱性なども修正されている。
関連情報
■URL
Operaのセキュリティ勧告(英文)
http://www.opera.com/support/search/supsearch.dml?index=782
ポップアップウィンドウの脆弱性に関するSecuniaのセキュリティ勧告(英文)
http://secunia.com/advisories/13253/
ダイアログ偽装の脆弱性に関するSecuniaのセキュリティ勧告(英文)
http://secunia.com/advisories/12981/
Sun Javaの脆弱性に関するSecuniaのセキュリティ勧告(英文)
http://secunia.com/advisories/13257/
■関連記事
・ 複数のブラウザにポップアップウィンドウをハイジャックされる脆弱性(2004/12/08)
・ 未公開の脆弱性などを修正した「Opera 7.54英語版」リリース(2004/08/06)
( 永沢 茂 )
2004/12/13 18:04
- ページの先頭へ-
|