INTERNET Watch Title Click

【セキュリティ】

Netscape Communicator 4.7のフォント機構にセキュリティ問題

 Netscape Communicatorのフォント機構にセキュリティ問題が発見され、発見者Max Vision氏によりデモつきで公開されている。現象が確認されているのはWin32版、Linux版では発生していないという。

 これは、ページと同時にフォントをダウンロードする「ダイナミックフォント」機構により、Webサーバーからブラウザーにバッファオーバーフローを起こさせることができるというもの。編集部でデモを実行したところ、確かにWindows版Netscape Communicatorが異常終了した。説明によると、未検証ではあるが、サーバー側からプログラムを実行させられる可能性もあるという。なお、Netscape Communicatorのフォント設定で、ダイナミックフォントを使用しないよう設定すると、この現象は起きない。

('99/10/20)

[Reported by masaka@impress.co.jp]


INTERNET Watchホームページ

ウォッチ編集部INTERNET Watch担当internet-watch-info@impress.co.jp