★阿修羅♪ 現在地 HOME > IT7 > 471.html
 ★阿修羅♪
次へ 前へ
「Mozilla,Firefox,Thunderbirdに新たに複数のセキュリティ・ホールを発見」,デンマーク【IT_P
http://www.asyura2.com/0411/it07/msg/471.html
投稿者 クエスチョン 日時 2005 年 3 月 04 日 07:45:42: WmYnAkBebEg4M
 

「Mozilla,Firefox,Thunderbirdに新たに複数のセキュリティ・ホールを発見」,デンマーク【IT_Pro】
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20050302/156873/

[2005/03/02]

 デンマークSecuniaは,Webブラウザ「Firefox」,「Mozilla」,電子メール・クライアント「Thunderbird」に見つかった複数のセキュリティ・ホールを現地時間3月1日に公開した。これらの弱点を突くことにより,ネットワーク内のユーザーがより高度な権限を持てるようになったり,外部の者によるスプーフィング攻撃,個人情報の窃盗,操作が行なわれる可能性があるという。

 公開されたセキュリティ・ホールの多くは,SSLセキュア・サイトのアイコンから無効なタブのコンテンツまで,Webサイトにおけるさまざまな面の偽装を可能にするものだった。

 その中のひとつとしてリモートからマシン操作が可能なるバグが公開された。Firefoxのプラグインの操作でテンポラリ・ディレクトリが作成されることにより弱点を突かれる原因となる。これを悪用することにより,MozillaまたはFirefoxを稼動しているユーザーの権限を利用してコンピュータから任意のディレクトリ,ファイルの削除が可能になるという。

 また,ダイアログを悪用してユーザーを欺く可能性があるバグも見つかった。ダウンロード・ダイアログ「リンクに名前を付けて保存」に表示されるファイルの種類はURLを使って関連付けが行なわれるが,実際にダウンロードしたファイルを保存する場合にはHTTPヘッダーの「Content- Disposition」のファイル名が使用される。そのため,悪意のあるWebサイトは,これを利用して「リンクに名前を付けて保存」に表示されるファイル形式を偽って別の形式のファイルをダウンロードさせることができるという。

 その他にも,自動的にフォームに記入する機能を利用してユーサーを欺き,個人情報やクレジット・カード番号などを引き出す可能性があるものも公開されている。

 これらの脆弱性が存在するのは,Mozilla 0.x,1.0,1.1,1.2,1.3,1.4,1.5,1.6,1.7.x,Mozilla Firefox 0.x,1.x,およびMozilla Thunderbird 0.x,1.x。Secunia社は,これらの脆弱性の危険度をまとめて「中」と評価している。

 Firefoxの脆弱性は修正され,Firefox 1.0.1のリリースが前週開始された。同社は最新版のダウンロードを勧めている。Firefox 1.0.1は, MozillaのWWWサイトから配布されている。

 Mozillaの脆弱性は修正されているが,パッチが施された1.7.6はまだ正式には公開されていない。Thunderbirdもバグの影響を受けやすいが同じく修正されたバージョンはまだ公開されていない。Mozilla 1.7.6とThunderbird 1.0.1は同週リリースが予定されている。

◎関連記事
■米Mozilla Foundation,「Mozilla」「Firefox」などの開発状況を明らかに
■「『Firefox』のダウンロード数が2500万件を突破」,米Mozilla Foundation
■米Mozilla Foundation,「Firefox 1.1」最終版リリースを3カ月遅らせ6月に
■ MozillaやFirefoxにダウンロード・ダイアログを偽装されるセキュリティ・ホール
■米Mozilla Foundation,「Thunderbird」にフィッシング警告機能搭載へ
■デンマークのSecunia,「Mozilla」と「Firefox」のセキュリティ・ホールを相次いで報告

[発表資料(1)]
[発表資料(2)]
[発表資料(3)]

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。