ゲストさんログイン

ウェブ検索

最新ニュース! クリックするほどよく分かる

[PR]コレがGoogleの検索ストーリー

[CNET Japan] モジラ、「Firefox 2.0.0.10」をリリース--3件のセキュリティ脆弱性に対応

2007年11月28日11時15分 / 提供:CNET Japan

CNET Japan

 Mozillaは米国時間11月26日、「Firefox」のバージョン2.0.0.10をリリースした。今回の更新は影響力の大きいセキュリティ脆弱性3件に対処するものだ。2件は特定のサイトの訪問時に個人情報を盗むために利用可能なクロスサイトリクエストフォージェリ(CSRF)攻撃に対処するものであり、1件はメモリ破壊に関するものである。

 更新はすべての現行Firefoxユーザーに配布されている。新規ユーザーは最新のFirefoxのリリースをダウンロードできる。

 CSRFに関する1件目の脆弱性は、window.locationプロパティを設定するタイミングを利用して偽のHTTP Refererヘッダを生成することを可能にするものだ。

 Mozillaでは、Refererヘッダは本来スクリプトが実行されたコンテンツのアドレスを反映するはずだが、「代わりに、リファラには、スクリプトが実行されたウィンドウ(またはフレーム)のアドレスが設定されていた。この脆弱性はそのわずかな違いから生じていた」と指摘している。Mozillaではこの脆弱性を実証した人物としてGregory Fleischer氏の名前を挙げている。

 CSRFに関する2件目の脆弱性はJAR ZIP形式に関するものである。JAR ZIPはウェブサイトが、Javaアーカイブ形式の署名を含むZIPアーカイブにパッケージされたページをウェブサイトが読み込むことを可能にするものだ。

 Mozillaによると、リダイレクトを使うとMozillaのブラウザはJARコンテンツの提供元を正しく解釈できなくなることがBeford.orgのブロガーによって指摘されたという。そのコンテンツが「実際の提供元ではなくリダイレクト先のサイトから提供されているかのように誤認されてしまう。これは、一般に公開されているリダイレクトサービスを利用すれば、アップロードを許可していないサイトに対してもクロスサイトスクリプティング(XSS)攻撃を行うことが可能だった」

 この脆弱性を利用してユーザーのGmailコンタクトリストを盗む方法が示された概念実証コードがすでに存在する。Mozillaではこれを実証したセキュリティ研究者としてJesse Ruderman氏とPetko D. Petkov氏の名前を挙げている。

 3件目の更新はメモリ破壊に関するものであり、Firefoxの安定性を向上するための3件のバグ修正が含まれるとMozillaでは説明している。この場合の問題点は、条件が整えばこうしたメモリクラッシュの一部を利用して任意のコードを実行することが可能だった点である。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連記事

関連ワード:
セキュリティ  Firefox  脆弱性  CSR  コンテンツ  
Ads by Google
コメントするにはログインが必要です
ログインしてください
投稿

関連ニュース:セキュリティ

関連商品

become
ドライブセキュリティPRO 抹消エディション
9,770円
アウトレットプラザ
ドライブセキュリティPRO
6,877円
PC Life ストア さんてく堂
セキュリティUSBメモリ RUF2-FHS2G
19,800円
コムロード オンラインストア
セキュリティUSBメモリ RUF2-FHS1G
13,800円
コムロード オンラインストア

ITアクセスランキング

  1. 【トレビアン】ニコニコ生放送のリスカ騒動は釣りだった? ひろゆきも釣られる画像トレビアンニュース 27日11時20分(8)
  2. グーグル参入で新OS戦争勃発!マイクロソフト戦略大転換の成否(下) ダイヤモンド・オンライン 27日11時05分(3)
  3. ソニー、またも痛恨のミスに謝罪!一部のパソコンが低温時に起動しない不具合ITライフハック 27日07時00分(4)
  4. 2ちゃんねる「一年前まで彼女だった女の名言」がおもしろい!画像ガジェット通信 26日17時37分(2)
  5. 電子メールは消える運命か?インターネットコム 27日09時00分(1)
  6. 【ゲーム×コンボ】桃太郎電鉄が路線をジャック? 今度はWiFi対戦も可能に!画像ゲーム×コンボ 26日12時40分(2)
  7. ニコン「D3S」の連写で毎秒90MB転送可能なサンディスクのコンパクトフラッシュ「Extreme Pro」の実力を試すGIGAZINE 26日19時17分(1)
  8. 【コラム】 サイトに入会しただけで満足してはいけないネット婚活体験者が語る事前準備の大切さR25.jp 26日11時00分(1)
  9. コンテンツは無料という非常識を拒絶する マードックの対グーグル戦争は正しい【岸博幸コラム】 ダイヤモンド・オンライン 27日11時05分
  10. 【トレビアン動画】ゲームボーイの音源で『スリラー』を演奏!画像トレビアンニュース 27日12時10分(1)
注目の情報
なぜ、男に50万個も売れてる?
今、この石けんが男性に、通販のみで50万個も売れている。なんでも
加齢臭を抑えるらしく、さらに売れ続けていると。そこで、実際に私も
試してみると…凄い!売れてる秘密がわかった。


その秘密とは≫

ヘッドライン

まさにコロンブスの卵!世界初のスライド式2画面ノートPCが発売へ まさにコロンブスの卵!...
株式会社工人舎は2009年11月27日、スライドオープン式デュアルディスプレイ機構を採用したノートパソコン「KOHJINSHA DZ シリーズ」を12月11日より発売するとし

写真ニュース

 わずかな時間で安心をお届け! 無料ツールの「エフセキュア ヘルスチェック」 新バージョンリリース ウイルスなんか怖くない!Windows 7をセキュリティソフトで守る【知っ得!虎の巻】 無料でも安心!セキュリティを強化するテクニック集【知っ得!虎の巻】 偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]
駆除サービス会社こそが犯人!? 〜 シマンテックが新種トロイを発見 第9回エムオーテックスユーザ会 「LanScopeアワード2009」開催! 偽のマイクロソフト製セキュリティソフトが登場 〜 トレンドマイクロ調べ スパムメール対策のSPAMWATCHER UPSバンドルキャンペーン!
「Gumbler/GENO」に類似したあらたな攻撃が発生 〜 被害サイトの1/3以上が“再発病” 人気のある有料セキュリティソフトは「トレンドマイクロ」「シマンテック」「マカフィー」 「サイト管理人がウイルス感染を助長しないTIPS」、G Dataが公開 不合格通知メールで大量の個人情報が漏洩!

特集

ケータイでニュースを見る
QRコード 行きの電車、帰りの電車で
livedoorニュースを読もう!
ケータイにメールを送る
livedoor サービス: