★阿修羅♪ > IT8 > 292.html
 ★阿修羅♪
Firefoxに極めて重大な脆弱性
http://www.asyura2.com/0505/it08/msg/292.html
投稿者 花いちもんめ 日時 2005 年 9 月 10 日 16:29:19: nxaWF18LQIY7E
 

Firefoxに極めて重大な脆弱性

FirefoxにDoS攻撃を誘発する深刻な脆弱性が発見された。最新の1.5 β1も影響を受ける。Mozilla Foundationでは急遽パッチを公開した。

 オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害(DoS)攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。

 問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。

 フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした。アドバイザリーと同時に、Firefoxのクラッシュを再現できるHTMLコードをWebサイト、およびメーリングリストで公開している。

 脆弱性はWindowsおよびLinux版のFirefoxバージョン1.0.6で確認された。フェリス氏の報告によれば、それ以前のバージョンと、公開されたばかりの1.5 β1も影響を受ける。またSecuniaやFrSIRTのアドバイザリーによると、Mozilla 1.7.11やNetscape 8.0.3.3/7.2にも同様に、ドメイン名処理に起因する脆弱性が存在するという。

 問題が公になった当初はパッチはリリースされていなかったが、米国時間の9月9日になって、Mozilla Foundationがパッチを含む対応策を示した。エラーが存在する国際化ドメイン名(IDN)処理(デフォルトでは有効になっている)を無効にするための暫定パッチで、Firefox 1.0.6/1.0.6.1およびMozilla 1.7.11/1.7.11.1に対応している。また、手動でIDNを無効にするよう設定(network.enableIDN)を変更しても問題は避けられるという。

 これらの対策を採るのが困難な場合は、信頼できないWebサイトを訪れないようにして自衛するしかない。Mozilla Foundationでは、より根本的な解決策の開発も進めており、将来のバージョンでフィックスされる予定としている。

 フェリス氏はアドバイザリーの中で、Mozilla Foundationには9月4日に問題を通知していたとしている。一方Mozilla Foundationは、報告を受け取ったのは4日ではなく、米太平洋夏時間で9月6日の午後だったと述べている。

 フェリス氏は今回の脆弱性以前にも、Windowsに存在するリモートデスクトッププロトコルの脆弱性(MS05-041)を報告していたほか、Internet Explorerに未パッチの脆弱性が存在することも警告している。


この一年の Firefox セキュリティ欠陥は IE よりも多い
http://www.asyura2.com/0505/it08/msg/238.html

 次へ  前へ

  拍手はせず、拍手一覧を見る

▲このページのTOPへ       HOME > IT8掲示板



  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。