『IE』をはじめとする複数の主要ブラウザに共通のバグ

この記事のURLhttp://japan.internet.com/webtech/20041130/11.html

Microsoft の『Internet Explorer (IE)』にバグが見つかるのは珍しくないが、ほかのブラウザにも同じバグが見つかるというのは、あまり例がない。

しかしこれに相当するのが、IE をはじめ、『Mozilla Browser』『Mozilla Firefox』『Opera』『Apple Safari』に見つかった新しいバグだ。問題のバグは、これらのブラウザがクラッシュする原因になり、場合によっては、実質的にすべての主要ブラウザに影響が出る悪用の基盤となりかねない。

『Infinite Array Sort Denial Of Service Vulnerability』と呼ばれるこのバグは、影響の出るブラウザで JavaScript によって配列ソートを無限に実行し、その結果ブラウザを効果的にサービス不能化状態に陥れ、スタックメモリを消費することでクラッシュに至るというものだ。

今のところ、バグを悪用して悪質コード実行に至る実施例は見つかっておらず、単にブラウザのクラッシュを引き起こすだけだが、それも時間の問題に過ぎないという可能性はある。

今回のバグは、セキュリティ専門家の Berend-Jan Wever 氏が報告した。同氏はセキュリティ関連のメーリングリストに情報を公開したばかりだが、しばらく前から多くのセキュリティ研究者と同様に IE に的を絞った調査を始め、この問題の存在を認識していたという。

Wever 氏が示したクラッシュに至るコードは、実質的にわずか4行という簡単さだ。

バグの存在や脆弱性の可能性を公にするという Wever 氏の行為は、以前同氏が IFRAME の脆弱性に関連する情報を開示した行為と同様に、さまざまなセキュリティ関連メーリングリストで、ほかのメンバーの一部から非難を浴びた。Wever 氏は、自身の行為について自ら弁護する投稿を行なっており、脆弱性を発見しても利己主義的にそれを悪用するような、良心に欠ける個人がほかに存在するのだと、コミュニティに対して念を押した。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。