『Firefox』、最新版で『JavaScript』関連の脆弱性を修正

この記事のURLhttp://japan.internet.com/webtech/20060728/12.html

『JavaScript』は、Mozilla Corporation のオープンソースブラウザ『Firefox』の素晴らしい能力の源だが、残念なことに、多くの脆弱性の発生源にもなっている。

27日にリリースされた最新版『Firefox 1.5.0.5』では、重要度が「最高」とされているものだけでも7件の脆弱性が修正されているが、そのすべてに JavaScript が関与している。

今回のセキュリティ勧告から、JavaScript 関連で重要度が最高の脆弱性について見ていこう。

「MFSA 2006-44」は、ある特定の状況において、JavaScript によるフレームまたはウィンドウに対する参照が、参照されたコンテンツがなくなっても適切に取り除かれない場合があるという脆弱性で、この削除済みオブジェクトへのポインタが、攻撃者による任意のコード実行に利用される可能性があるという。

「MFSA 2006-45」は、「window.navigator」オブジェクトのプロパティ参照により、任意コード実行を招きかねないものだ。

「MFSA 2006-50」は、JavaScript エンジンの脆弱性に関係する。

「MFSA 2006-48」の脆弱性は、新規「Function」オブジェクト作成に使用中の一時変数が、JavaScript のガベージコレクションによって削除された場合、競合状態に陥るというもので、やはり任意のコード実行を招きかねない。

勧告のタイトルに「JavaScript」という語句が入っていなくても、なんらかの形で JavaScript が関係する脆弱性もあるようだ。

「MFSA 2006-46」は、その一例だ。同脆弱性は、あるイベントの同時発生処理に存在し、メモリ破壊を引き起こす。この脆弱性も任意のコード実行を許す可能性があるという。セキュリティ勧告では、更新しない場合の対処法として JavaScript の無効化を挙げている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。