★阿修羅♪ > IT10 > 258.html
 ★阿修羅♪
Mozilla Firefox2.0.0.9 および 旧バージにクロスサイトスクリプティングの脆弱性
http://www.asyura2.com/07/it10/msg/258.html
投稿者 えもたん 日時 2007 年 11 月 11 日 10:11:05: Sm8tIhLhKb2t2
 

危ないらしいです。


Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性
対象は最新のFirefox 2.0.0.9 およびそれ以前のバージョン
http://jvn.jp/cert/JVNVU%23715737/


公開日:2007/11/09 最終更新日:2007/11/09
JVNVU#715737
Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性


概要)
Mozilla Firefox には、ウェブサイト上の細工されたアーカイブファイルを jar: URI 形式を処理する際にクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム)
Firefox 2.0.0.9 およびそれ以前
その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があります。


詳細情報)
Mozilla Firefox は、圧縮されたファイルからコンテンツを展開する jar: URI 形式をサポートしています。jar:[url]![filename path] 形式でウェブサイト上の細工されたアーカイブファイルにアクセスした際、クロスサイトスクリプティングの脆弱性が存在します。

この脆弱性を用いた攻撃では、細工されたアーカイブファイルをサイトに設置し、Mozilla ベースのブラウザで当該ファイルへアクセスさせることが必要となります。


想定される影響)
ユーザのウェブブラウザ上で任意のコードを実行される可能性あります。


対策方法)
2007/11/09 現在、対応策は提供されていません。

回避策としては

ネットワークを制限する
プロキシサーバやアプリケーションファイヤーウォールを使用して jar: を含む URI をブロックすることで本脆弱性の影響を軽減することができます。

Noscript を使用する
Noscript バージョン 1.1.7.8 およびそれ以降では、この脆弱性への対策が行なわれています。Noscript を使用することで本脆弱性を回避することができます。

アップロードされるファイルをチェックする
リバースプロキシやアプリケーションファイヤーウォールを使用して jar: を含む URI をブロックすることで本脆弱性の影響を軽減することができます

  拍手はせず、拍手一覧を見る

 次へ  前へ

▲このページのTOPへ      HOME > IT10掲示板

フォローアップ:

このページに返信するときは、このボタンを押してください。投稿フォームが開きます。

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。