｜ トップページ Webビジネス Eコマース Webファイナンス Webマーケティング パブリック Webテクノロジー 携帯・ワイヤレス Linux Today Linux Tutorial J.I.C.ブログ 転職ならen 派遣ならen アルバイトならen ＩＴ求人情報 今日のヘッドライン 週間ヘッドライン ロレックス フォトコミュニティ ストックフォト クリップアート イラスト フェリカ Web2.0 イベントカレンダー 書評「IT の耳」 出張・接待検索 ニュースガジェット 新規登録 変更・解除 オプトインメールの登録・変更・解除 パートナーサイト 転職ならエン 就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル グループ会社 株式会社アエリア (株)サンゼロミニッツ 株式会社エアネット お問い合わせ 広告掲載について リンクについて 著作権について その他お問い合わせ 利用規約 個人情報保護方針 会社概要（地図） Webテクノロジー 2005年9月22日 14:00 Webテクノロジー・バックナンバー Mozilla、セキュリティ強化版の『Firefox 1.0.7』を公開 著者: Sean Michael Kerner 　オリジナル版を読む プリンター用 記事を転送 ▼2005年9月22日 14:00 付の記事 ■海外internet.com発の記事 オープンソース開発団体の Mozilla Foundation は21日、「セキュリティおよび安定性強化版」として、Web ブラウザ『Firefox』の新版 Firefox 1.0.7 を公開した。同団体および Firefox については、Web サイトクラックのほか、脆弱性が多くなっていることなど、懸念材料が増えている。 Firefox 1.0.7 では、多くのセキュリティ修正を施した。対応した脆弱性のうち、少なくとも1件については、セキュリティ調査会社 Secunia が5段階中最大の危険度を付けている。 Secunia のセキュリティ勧告によると、Linux 版において Firefox を起動するシェルスクリプトが、シェルコマンドを内包した URL をコマンドラインで受け取った場合、そのシェルコマンドを解釈してしまうという。同脆弱性については、Mozilla が運営するバグ追跡サイトにも同様の記述がある。同脆弱性の CVE (共通脆弱性データベース) 登録番号は「CAN-2005-2968」だ。 Mozilla のバグ追跡記録を見ると、9月6日に最初のエントリを作成していることから、その時点で Mozilla は、すでに起動シェルスクリプトの問題を認識していたことになる。 この起動シェルスクリプトの問題は、悪意ある攻撃者が悪用し、システムを危険に晒す可能性がある。たとえばメールクライアントなど、Firefox 以外のアプリケーションで、既定 Web ブラウザを Firefox に設定している場合、細工したリンクをクリックさせれば、任意のシェルコマンド実行が可能になる。ただし、Firefox の起動にシェルスクリプトを用いるのは Linux 版だけのため、ほかのプラットフォーム版に同脆弱性は存在しない。 Mozilla によると Firefox 1.0.7 では、「ソフトハイフン (の文字コード) を用いたホスト名を読み込んだ際に起こる、潜在的なバッファオーバーフローの脆弱性」にも対応したという。これは国際ドメイン名処理に存在するものだ。本記事執筆時点で、Mozilla は 1.0.7 で修正した脆弱性のリストを更新していないため、対応した脆弱性の総数については不明だ。Firefox 1.0.5 および 1.0.6 では、12件の脆弱性に対応していた。 Firefox 1.0.7 リリース直前の19日、セキュリティソリューション大手 Symantec (NASDAQ:SYMC) は、インターネットのセキュリティに関する最新レポート『Internet Security Threat Report』を発表している。Symantec はその中で、2005年前半6か月の期間中、Firefox を含む Mozilla 製ブラウザには、Microsoft の『Internet Explorer』(IE) など他のいかなるブラウザよりも多くの脆弱性が見つかったと述べていた。 Symantec は同レポートで、Firefox を含む Mozilla 製ブラウザに関して、2005年1月から6月までの間に、ベンダーが確認した脆弱性が25件見つかっており、そのうち18件は危険度が高いものだったと指摘した。これとは対照的に、IE では同じ期間において、ベンダー確認済みの脆弱性が13件しかなく、深刻度の高いものはそのうち8件だけだったという。 このような報告のほかにも、Mozilla 製品に関する不安材料が持ち上がっている。ロシアのセキュリティ会社 Kaspersky Labs は、Mozilla 製品の韓国配布版の一部が、『Virus.Linux.RST.b』ウイルスに感染していたと報告した。Mozilla は21日、セキュリティ勧告の中で、『Mozilla Suite 1.7.6』と『Thunderbird 1.0.2』の韓国サードパーティ提供版が、Linux.RST.b ウイルスに感染していたとし、9月17日をもって Mozilla の FTP ミラーネットワークから感染ファイルを削除したと述べた。 6月には、韓国の Mozilla サイトがクラック被害に遭うという事態が起きているが、Linux.RST.b ウイルス感染と関係があるのか否かは不明だ。 関連記事 NS総研、ISMS 認証制度ガイドブックの無料配布を開始 日本通信、法人向けデータ通信にてセキュリティパッケージを発売 営利目的の悪質コードが急増 Skybox、IT セキュリティ管理を自動化 Seagate、コンテンツ保護ソリューションの Mirra を買収 関連テーマ ブラウザ ドメイン オープンソース ウイルス Mozilla Microsoft users ★最新トップニュース 【ケータイ USA】イギリスの団体が iPhone の広告における Apple の虚偽に言及（携帯・ワイヤレス 8月30日 13:00） イギリスの広告基準協議会（Advertising Standards Authority：ASA）は、Apple に広告における真実について、訓戒を説こうとしているらしい。 ASUS、電源オンから約7秒で起動するコンパクト PC「Eee Box」を発表（Webテクノロジー 8月29日 18:20） ASUS は2008年8月29日、低価格なコンパクト PC「Eee Box B202」を9月13日に発売する、と発表した。 【今週の Web ミミズク】「予測市場」の将来を予測したい…（Webビジネス 8月29日 18:10） 「予測市場」という言葉をちらちら耳にする。「予測」と「市場」という組み合わせが、耳新しいのかもしれない。あるいは、未来を予想できるかもしれない、という期待もあるかもしれない。 G DATA がゼロアワー攻撃の拡大を警告（Webテクノロジー 8月29日 18:00） G　DATA が、国内でのゼロアワー攻撃が拡大している、と警告を発している。同社が2008年8月29日、明らかにした。 KDDI、「光で操作ナビ」などを搭載した簡単ケータイ「W62PT」を8月30日発売（携帯・ワイヤレス 8月29日 18:00） KDDI、沖縄セルラーは、2008年8月29日、au 携帯電話新ラインアップとして、パンテック＆キュリテル製の簡単ケータイ「W62PT」を8月30日に全国一斉発売することを発表した。 オススメのＩＴ系求人情報【毎週月曜日更新】 デイリーリサーチ ／ DLサイト OnlineResearchPortal　(リサーチデータバンク) モバイルリサーチ with goo iPhone Youtube Google モバイルノート 半導体 ウィルコム テーマ一覧はこちら 第２回インターネットコムマーケティングセミナー 「モバイルマーケティングの世界」〜これだけはやっておきたいモバイルマーケティング施策とは〜 9月24日（水）13：00〜17：00　ITS 山王健保会館 ※詳しくはこちら DevX CodeGuru developer.com ブログ一覧 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】 「選択と集中」選択をして集中しない限りは勝てない／メディカル・コミュニケーションズ株式会社（8月29日） 【データメーション】 Apple は顧客の忠誠心にあぐらをかいているのか？　（8月27日） 【Graphic Design Forum】 次へとつながる輪 （8月27日） 【最新テクノロジーの意外な処方箋】 あなたが舌なめずりしたくなるようなもの（8月26日） 【エンジニアの独り言】 データをローカルに保存するWebアプリケーション（8月22日） 【デスマーチからの脱却】 30min. iPhoneアプリリリース（8月18日） 台湾企業が席巻する電子製品製造 世界の IT 産業を担う台湾製造企業、馬政権誕生で中・台産業関係さらに緊密へ（8月29日） IT マネジメント IT を変えつつあるのはどの技術？（8月29日） 最新ハイテク講座 繁栄か滅亡か！巨大なエネルギー「原子力」の未来（8月29日） developer.com レガシーWebアプリケーションをWebLogic Portal内のフルページIFrameとして統合する（8月29日） 百式のネットビジネス研究 友達にあなた特製のクスリを贈ることができる「Get Your Drug On」（8月29日） 週刊-サイト別アクセス状況データ ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)（8月28日） 「IT の耳」 【書評】『1回の会議・打ち合わせで必ず結論を出す技術』――無意味な会議を撲滅する（8月28日） ハードウェアから見たデータベース 巨大テーブル活用術1（8月28日） ウチのサイトを SEO 検索エンジンが見ている世界（8月27日） エンジニア転職ノウハウ開発室 目指せｅｃｏエンジニア！グリーンＩＴで地球を救え（8月26日） セキュリティチャネル テレコムチャネル サーチエンジンウォッチ 海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ 関連企業のサイト：ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルデザインTシャツ ニタコエ Copyright 2008 Jupitermedia Corporation All Rights Reserved.