デンマークのSecuniaは16日、Webブラウザ「Opera」に関する3つの脆弱性を警告した。いずれも最新版の「Opera 8.01」で修正されている。
1つ目は「XMLHttpRequest」オブジェクトの脆弱性で、危険度は5段階中3番目の“Moderately critical”。検証が不十分なサーバー側のリダイレクトが原因で、悪意のある攻撃者がコンテンツを盗んだり、そのユーザーの権限で他のWebサイトで活動できてしまう恐れがあるという。SecuniaはOpera 8.0でこの脆弱性を確認した。
2つ目は「Javascript:」のURLでクロスサイトスクリプティングが発生する脆弱性だ。危険度は同じく“Moderately critical”。この脆弱性は「Javascript:」から始まるURLに正しい制限がされていないために発生する。悪用されるとクロスサイトスクリプティングやローカルファイルを読み取られる恐れがあるという。こちらはOpera 8.0だけでなく7.xにも影響がある。
3つ目は、自動リダイレクトを行なわない設定にしているにも関わらず、リダイレクト先を表示するページを生成してしまうという脆弱性。悪用されるとクロスサイトスクリプティングの可能性もある。危険度は下から2番目の“Less critical”。Secuniaは今回Opera 8.0で確認したが、以前にもOpera 6.xや7.xでも同様の脆弱性を指摘していた。
関連情報
■URL
XMLHttpRequestオブジェクトの脆弱性(英文)
http://secunia.com/advisories/15008/
「Javascript:」のクロスサイトスクリプティングの脆弱性(英文)
http://secunia.com/advisories/15411/
リダイレクトページを生成してしまう脆弱性(英文)
http://secunia.com/advisories/15423/
■関連記事
・ 「Opera 8」日本語版、WindowsとMac OS X用が同時公開(2005/06/16)
( 鷹木 創 )
2005/06/16 21:20
- ページの先頭へ-
|