japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月9日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
任天堂が、大画面の「ニンテンドーDSi LL」を発表。欲しいと思いますか?
欲しい
欲しいと思わない
他のDS製品を持っているが欲しい
他のDS製品を持っているのでいらない
投票締切 11/9 12:00
Webテクノロジー2005年9月22日 14:00

Mozilla、セキュリティ強化版の『Firefox 1.0.7』を公開

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
オープンソース開発団体の Mozilla Foundation は21日、「セキュリティおよび安定性強化版」として、Web ブラウザ『Firefox』の新版 Firefox 1.0.7 を公開した。同団体および Firefox については、Web サイトクラックのほか、脆弱性が多くなっていることなど、懸念材料が増えている。

Firefox 1.0.7 では、多くのセキュリティ修正を施した。対応した脆弱性のうち、少なくとも1件については、セキュリティ調査会社 Secunia が5段階中最大の危険度を付けている。

Secunia のセキュリティ勧告によると、Linux 版において Firefox を起動するシェルスクリプトが、シェルコマンドを内包した URL をコマンドラインで受け取った場合、そのシェルコマンドを解釈してしまうという。同脆弱性については、Mozilla が運営するバグ追跡サイトにも同様の記述がある。同脆弱性の CVE (共通脆弱性データベース) 登録番号は「CAN-2005-2968」だ。

Mozilla のバグ追跡記録を見ると、9月6日に最初のエントリを作成していることから、その時点で Mozilla は、すでに起動シェルスクリプトの問題を認識していたことになる。

この起動シェルスクリプトの問題は、悪意ある攻撃者が悪用し、システムを危険に晒す可能性がある。たとえばメールクライアントなど、Firefox 以外のアプリケーションで、既定 Web ブラウザを Firefox に設定している場合、細工したリンクをクリックさせれば、任意のシェルコマンド実行が可能になる。ただし、Firefox の起動にシェルスクリプトを用いるのは Linux 版だけのため、ほかのプラットフォーム版に同脆弱性は存在しない。

Mozilla によると Firefox 1.0.7 では、「ソフトハイフン (の文字コード) を用いたホスト名を読み込んだ際に起こる、潜在的なバッファオーバーフローの脆弱性」にも対応したという。これは国際ドメイン名処理に存在するものだ。本記事執筆時点で、Mozilla は 1.0.7 で修正した脆弱性のリストを更新していないため、対応した脆弱性の総数については不明だ。Firefox 1.0.5 および 1.0.6 では、12件の脆弱性に対応していた。

Firefox 1.0.7 リリース直前の19日、セキュリティソリューション大手 Symantec (NASDAQ:SYMC) は、インターネットのセキュリティに関する最新レポート『Internet Security Threat Report』を発表している。Symantec はその中で、2005年前半6か月の期間中、Firefox を含む Mozilla 製ブラウザには、Microsoft の『Internet Explorer』(IE) など他のいかなるブラウザよりも多くの脆弱性が見つかったと述べていた。

Symantec は同レポートで、Firefox を含む Mozilla 製ブラウザに関して、2005年1月から6月までの間に、ベンダーが確認した脆弱性が25件見つかっており、そのうち18件は危険度が高いものだったと指摘した。これとは対照的に、IE では同じ期間において、ベンダー確認済みの脆弱性が13件しかなく、深刻度の高いものはそのうち8件だけだったという。

このような報告のほかにも、Mozilla 製品に関する不安材料が持ち上がっている。ロシアのセキュリティ会社 Kaspersky Labs は、Mozilla 製品の韓国配布版の一部が、『Virus.Linux.RST.b』ウイルスに感染していたと報告した。Mozilla は21日、セキュリティ勧告の中で、『Mozilla Suite 1.7.6』と『Thunderbird 1.0.2』の韓国サードパーティ提供版が、Linux.RST.b ウイルスに感染していたとし、9月17日をもって Mozilla の FTP ミラーネットワークから感染ファイルを削除したと述べた。

6月には、韓国の Mozilla サイトがクラック被害に遭うという事態が起きているが、Linux.RST.b ウイルス感染と関係があるのか否かは不明だ。

  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
認証がオンラインビジネスの鍵である理由(11月4日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
子供とケータイについて考える〜授業にケータイを活用した取組み〜(ビデオリサーチインタラクティブコラム)(11月9日)
百式のネットビジネス研究
百式のネットビジネス研究
オバマ大統領の着ている服で天気がわかる「Obama-Weather」(11月7日)
不況時代の Web ビジネス最適化講座
不況時代の Web ビジネス最適化講座
こんな話良く聞きます、お客様のよくある失敗談(11月6日)
海外ソーシャルウェブに学ぶ成功の秘訣
海外ソーシャルウェブに学ぶ成功の秘訣
私のおすすめツィート術 〜 何をつぶやけばいいかわからない人から、効率的にツールを使ってツィートしたい人まで(11月5日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
アクショントリガーの法則を用いて、完成度を高める(11月5日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
新たな対策技術:URL フィルタリングと Web レピュテーション(11月4日)
スマートにソーシャルウェブを構築しよう
スマートにソーシャルウェブを構築しよう
「Twitter」と「2ちゃんねる」、イザというとき役に立つのはどちら?(11月4日)
ROI向上のための戦略的WebPR
ROI向上のための戦略的WebPR
「戦略的 WebPR」の実践メソッド(5)〜ネットを活用した戦略 PR のしかけ方〜(11月4日)
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
景気は悪いまま!だからエンジニアよ、立ち上がれ(11月3日)
DevX
DevX
Webアプリケーションのロードバランス(11月3日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/