|
ニュース検索
ピックアップ
今週のIT求人情報
|
Mozilla 関連プロジェクトに3種の脆弱性報告Web ブラウザ『Firefox』を含む Mozilla Foundation のプロジェクトに関して、最近3種の脆弱性報告が出ている。
1つ目は、ダウンロードに関する不具合で、セキュリティ調査会社 Secunia が報告した。ファイルの URL が長いとダウンロード用ダイアログボックスで正しく表示できないため、攻撃者がユーザーをだまして、意図しないファイルをダウンロードさせる恐れがあるという。 Mozilla 関連プロジェクトの不具合追跡システム『Bugzilla』を見ると、この脆弱性の深刻度について、ちょうど中間の「normal」にしており、Secunia は5段階中下から2番目とした。Secunia の勧告では、信頼できないサイトからファイルをダウンロードすることは、避けるよう警告している。 2つ目は、ネットニュース転送プロトコル (NNTP) 関連のバッファオーバーフロー問題で、ポーランドのセキュリティ調査会社 iSEC Security Research が報告した。ユーザーが NNTP を用いた接続を行なった場合、攻撃者は任意のコード実行が可能という。少なくとも Mozilla 1.7.3 にはこの脆弱性が存在する。Mozilla Foundation によると、1.7.5 では修正済みという。 iSEC が公開したセキュリティ勧告によると、Mozilla 開発者の Dan Veditz 氏は Bugzilla に掲載した投稿で、少なくとも攻撃に利用されることはないと発言したという。一方 iSEC の勧告を書いた Maurycy Prodeus 氏は、自分のテスト環境で動作した概念実証コードを公開した。 「Mozilla 1.7.3 をインストールした自分の『RedHat 9.0』環境では、攻撃用データを使って概念実証コードによりバッファオーバーフローを引き起こせる。Mozilla Team がユーザーに警告しないので、私がセキュリティ勧告を公開することにした」と Prodeus 氏は述べた。 3つ目は、メールクライアント『Mozilla Thunderbird』と Firefox それぞれの一時ファイルの扱いに関するもので、Linux を手がける団体 Gentoo Foundation が、ptraced.net の報告としてセキュリティ勧告の中で言及した。ptraced.net の勧告によると、Thunderbird 0.8 および Firefox 0.9.3 は Linux 環境において、一時ファイルに予測可能なファイル名を用い、かつ全てのアカウントから読み出し可能な状態で保存してしまうため、ユーザーを危険にさらす恐れがあるという。 Secunia によると、Firefox 1.x に関して2004年8月以降に5件のセキュリティ勧告を公開しているが、そのうち4件が未修正のままという。ただし深刻度の点では、4件が5段階中下から2番目、1件が中間の3番目で、深刻度の高いものは1件もない。 関連記事
新着ニュース・コラム ホワイトペーパー
|
注目のトピックス 話題の記事
企業の約4割がいまでも IE 6 以前のブラウザを利用 ― Web 広告研究会調査
SNS「非モテ+」、バレンタイン関連ワード投稿を禁止に
Android アプリを美しくみせる UI デザイン10のヒント
新聞広告が動く!--11日の読売新聞朝刊に、AR を応用したドコモなどの広告
イギリス人は年間11キロのチョコを食べている―トリップアドバイザー「世界のチョコレート消費量」を公開
⇒一覧を見る
アクセスランキング
最新コラム一覧
|
||||||||||||||||||||