ゲストさんログイン

ウェブ検索

最新ニュース! クリックするほどよく分かる

[PR]開業費用ゼロ。アフラックで独立

[CNET Japan] モジラ、「Firefox 2.0.0.10」をリリース--3件のセキュリティ脆弱性に対応

2007年11月28日11時15分 / 提供:CNET Japan

CNET Japan

 Mozillaは米国時間11月26日、「Firefox」のバージョン2.0.0.10をリリースした。今回の更新は影響力の大きいセキュリティ脆弱性3件に対処するものだ。2件は特定のサイトの訪問時に個人情報を盗むために利用可能なクロスサイトリクエストフォージェリ(CSRF)攻撃に対処するものであり、1件はメモリ破壊に関するものである。

 更新はすべての現行Firefoxユーザーに配布されている。新規ユーザーは最新のFirefoxのリリースをダウンロードできる。

 CSRFに関する1件目の脆弱性は、window.locationプロパティを設定するタイミングを利用して偽のHTTP Refererヘッダを生成することを可能にするものだ。

 Mozillaでは、Refererヘッダは本来スクリプトが実行されたコンテンツのアドレスを反映するはずだが、「代わりに、リファラには、スクリプトが実行されたウィンドウ(またはフレーム)のアドレスが設定されていた。この脆弱性はそのわずかな違いから生じていた」と指摘している。Mozillaではこの脆弱性を実証した人物としてGregory Fleischer氏の名前を挙げている。

 CSRFに関する2件目の脆弱性はJAR ZIP形式に関するものである。JAR ZIPはウェブサイトが、Javaアーカイブ形式の署名を含むZIPアーカイブにパッケージされたページをウェブサイトが読み込むことを可能にするものだ。

 Mozillaによると、リダイレクトを使うとMozillaのブラウザはJARコンテンツの提供元を正しく解釈できなくなることがBeford.orgのブロガーによって指摘されたという。そのコンテンツが「実際の提供元ではなくリダイレクト先のサイトから提供されているかのように誤認されてしまう。これは、一般に公開されているリダイレクトサービスを利用すれば、アップロードを許可していないサイトに対してもクロスサイトスクリプティング(XSS)攻撃を行うことが可能だった」

 この脆弱性を利用してユーザーのGmailコンタクトリストを盗む方法が示された概念実証コードがすでに存在する。Mozillaではこれを実証したセキュリティ研究者としてJesse Ruderman氏とPetko D. Petkov氏の名前を挙げている。

 3件目の更新はメモリ破壊に関するものであり、Firefoxの安定性を向上するための3件のバグ修正が含まれるとMozillaでは説明している。この場合の問題点は、条件が整えばこうしたメモリクラッシュの一部を利用して任意のコードを実行することが可能だった点である。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連記事

関連ワード:
セキュリティ  Firefox  脆弱性  CSR  コンテンツ  
Ads by Google
コメントするにはログインが必要です
ログインしてください
投稿

関連ニュース:セキュリティ

関連商品

become
セキュリティUSBメモリ RUF2-FHS4G
26,800円
コムロード オンラインストア
ドライブセキュリティPRO 抹消エディション
9,770円
アウトレットプラザ
セキュリティUSBメモリ RUF2-FHS2G
19,800円
コムロード オンラインストア
セキュリティUSBメモリ RUF2-FHS8G
33,800円
コムロード オンラインストア

ITアクセスランキング

注目の情報
過払い金返還の無料弁護士相談!
消費者金融に払い過ぎた利息が取り返せる可能性があります
完済後もOK。返済中であれば取り立てを止めることができます
借金215万円がゼロになり、368万円戻ってきた事例も!!


弁護士相談24時間受付中

ヘッドライン

新垣結衣さんと中高生が夢の競演!ウォークマン「歌え、10代。」プロジェクト 新垣結衣さんと中高生が...
ソニーは、ひとりひとりが自分らしく生きることを音楽の力で応援する“ウォークマン”「Play You.」キャンペーンの新プロジェクト「歌え、10代。

写真ニュース

偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA] 駆除サービス会社こそが犯人!? 〜 シマンテックが新種トロイを発見 第9回エムオーテックスユーザ会 「LanScopeアワード2009」開催! 偽のマイクロソフト製セキュリティソフトが登場 〜 トレンドマイクロ調べ
スパムメール対策のSPAMWATCHER UPSバンドルキャンペーン! 「Gumbler/GENO」に類似したあらたな攻撃が発生 〜 被害サイトの1/3以上が“再発病” 「ノートン ユーティリティーズ」が復活――シマンテック 人気のある有料セキュリティソフトは「トレンドマイクロ」「シマンテック」「マカフィー」
「サイト管理人がウイルス感染を助長しないTIPS」、G Dataが公開 不合格通知メールで大量の個人情報が漏洩! ディー・オー・エス”HOSPEX Japan 2009”出展決定!『SS1で医療・福祉施設の情報セキュリティを強化する!』 国内最大級のポイント交換サイト『Gポイント』がキングソフト総合セキュリティソフトを無償配布

特集

ケータイでニュースを見る
QRコード 行きの電車、帰りの電車で
livedoorニュースを読もう!
ケータイにメールを送る
livedoor サービス: