★阿修羅♪ > IT8 > 876.html ★阿修羅♪ |
Tweet |
IE、Safari、Firefoxにパッチ未公開の新たな脆弱性
http://japan.cnet.com/news/sec/story/0,2000056024,20102578,00.htm?ref=rss
新たに3種類のブラウザにパッチが公開されていない脆弱性が見つかったと、専門家が注意を呼びかけている。
MicrosoftのInternet Explorer、Apple ComputerのSafari、そしてMozillaのFirefoxにあるバグの詳細が、先週末にセキュリティ関連のメーリングリストで公表された。セキュリティ対策企業のSecuniaは、FirefoxとSafariのバグはブラウザをクラッシュさせる可能性があり、IEのものはこれを悪用して脆弱なWindowsマシンを乗っ取ることが可能になるとする勧告を、自社のウェブサイトに掲載した。
Secuniaでは、バグを追跡調査するMichal Zalewski氏が報告したこのIEの欠陥を「非常に重大」に分類している。この問題は人気の高い同ソフトウェアのバージョン6で確認されているが、ほかのバージョンにも影響があるかもしれないと、同社では説明している。この脆弱性は、IEによるHTMLタグの処理方法に関係したもので、悪質なウェブサイトを作成することでこれを悪用できるという。
これらの警告が出される数日前には、Tom Ferrisというセキュリティ研究者から、Safariを含むAppleのソフトウェアのなかにパッチが公開されていない複数の脆弱性があるとの報告が出されていた。また、Microsoftも今月に入って、10カ所の脆弱性を修正するIE用のパッチを公開していたが、これらの脆弱性は大半が「緊急」に分類されるものだった。
Microsoftは現在、新たに明らかになった脆弱性について調査を進めているが、同社ではこれらがSecuniaの主張するほど深刻なものとは見ていない。Microsoftは米国時間25日に出した電子メールによる声明のなかで、「初期調査の結果では、この問題があると、ブラウザが不意に終了したり、反応しなくなる可能性があることが分かった」と述べている。
Symantecも、IEの脆弱性について、脆弱なPC上で悪質なコードを実行するのに悪用される可能性があるとしている。しかし、同社のDeepSightサービス加入者あてに送られたメモのなかには、これは正式に確認されたものではないとも書かれている。「これが悪用された場合、影響を受けるアプリケーションがクラッシュする可能性が高い」(Symantec)
Secuniaでは、FirefoxとSafariの問題は「深刻でない」としている。同社では、この脆弱性について、両ブラウザが特定のデータを処理する方法に関連したものだとしている。悪意を持つ者がこの脆弱性を悪用するために作成したウェブサイトにアクセスした場合、両ブラウザがクラッシュする可能性があるという。
Safariのバージョン2.0.3が脆弱であることは確認されており、ほかのバージョンにも影響があるかもしれないと、Secuniaでは述べている。同社の勧告によると、Firefoxの最新バージョン1.5.0.2と、これより前のバージョンの多くにも欠陥があるという。AppleとMozillaにコメントを求めたが回答は得られなかった。