Mozilla Foundationは8日、Webブラウザ「Firefox」の履歴ファイル(history.dat)の扱いに問題があると米SANS Instituteが報告した件について、起動時に一時的に不応答の状態になるもののセキュリティ上のリスクはないという見解を示し、対処方法を公表した。
Mozilla Foundationによれば、この問題は極端に長いタイトルの付いたWebページ(公開された実証コードでは250万文字)が原因となり、Firefoxが起動時にブラウザの履歴ファイルを読み込む際に、一時的にハングアップしたような状態に陥るというもの。この場合、低速なPCなどでは起動に数分かかることがあるものの、ブラウザは正常に起動するとしている。実証コードを編集部のPC(Pentium M 1.4GHz、メモリ512MB)で検証したところ、起動には約2分ほど時間がかかった。
この問題に遭遇した場合には、Firefoxを起動した後に、「移動」メニューから「履歴」を選択し、該当する長いタイトルの付いたWebページを削除することで、問題を回避できる。
Mozilla Foundationでは問題を調査した結果、この攻撃が応用されて悪用可能なクラッシュを引き起こす可能性があるとの主張には根拠がなく、起動時の一時的な不応答を超えるリスクはないと考えられるとしている。
関連情報
■URL
極端に長いページタイトルに起因する起動時の一時的な不応答について
http://www.mozilla-japan.org/security/history-title.html
■関連記事
・ Firefox 1.5にブラウザを使用不能にさせられる脆弱性~米SANS報告(2005/12/08)
( 三柳英樹 )
2005/12/12 13:10
- ページの先頭へ-
|