｜ トップページ Webビジネス Eコマース Webファイナンス Webマーケティング パブリック Webテクノロジー 携帯・ワイヤレス Linux Today Linux Tutorial J.I.C.ブログ 転職ならen 派遣ならen アルバイトならen ＩＴ求人情報 今日のヘッドライン 週間ヘッドライン 求人情報はe-aidem ロレックス 合宿免許 フォトコミュニティ ストックフォト クリップアート イラスト イベントカレンダー 書評「IT の耳」 出張・接待検索 ニュースガジェット 新規登録 変更・解除 オプトインメールの登録・変更・解除 パートナーサイト 転職ならエン 就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル 会社概要（地図） グループ会社 株式会社アエリア (株)サンゼロミニッツ 株式会社エアネット お問い合わせ 広告掲載について リンクについて 著作権について その他お問い合わせ 利用規約 個人情報保護方針 Webテクノロジー 2007年7月11日 12:30 Webテクノロジー・バックナンバー 『Firefox』に『IE』を介した悪用を許す脆弱性 著者: Sean Michael Kerner 　オリジナル版を読む プリンター用 記事を転送 ▼2007年7月11日 12:30 付の記事 ■海外internet.com発の記事 Mozilla Foundation のブラウザ最新版『Firefox 2.0.0.4』に任意のコマンドの実行を許しかねない不具合が存在し、ユーザーがコンピュータを乗っ取られるおそれがあると、複数のセキュリティ研究者が警告している。 うち少なくとも1人のセキュリティ研究者は、Firefox 2 と一緒に Microsoft の『Internet Explorer』(IE) をインストールしているマシンに問題が生じると指摘している。 Mozilla は目下、脆弱性の修正に取り組んでいる。 Mozilla の最高セキュリティ責任者 Window Snyder 氏は、取材に対し次のように語った。「われわれはこの問題を認識しており、修正プログラムの開発に取り組んでいるところだ。Mozilla は、最も安全なオンライン体験をユーザーに提供することを使命としている」 Snyder 氏は、修正プログラムの公開時期については明言しなかった。セキュリティ会社 Secunia は、この問題の深刻度を、5段階のうち上から2番目と評価している。 この問題は、Web から Firefox を呼び出せるようにするための「firefoxurl://」で始まる URI のハンドラにかかわるものだ。独立系のセキュリティ研究者たちは、ユーザーを危険にさらす悪質なコードを送り込むのに、この URI ハンドラが悪用されると主張している。 Billy (BK) Rios 氏、Nate Mcfeters 氏、Raghav "the Pope" Dube 氏の3人は、連名で公開したセキュリティ勧告の中で、Firefox 2 はインストール時に、『Windows』のレジストリに URI ハンドラとして「firefoxurl」を登録すると説明している。 同勧告には次のようにある。「これにより、HTML を読み込んで整形表示するアプリケーション (たとえば IE) から Firefox のインスタンスを生成できる。危険が生じるのは、『firefoxurl:』で始まる URI に含まれるパラメータが、安全性の検証もなく直接 Firefox.exe へ起動オプションとして渡されるときだ。firefoxurl URI を使えば、IE (またはその他の Windows ベースのブラウザ) を用いて FireFox を起動し、即座に JavaScript コードを実行することが可能になる」 独立系セキュリティ研究者 Thor Larholm 氏は、こうした危険が生じるのは、IE の側に問題があるとの見解を示している。 関連記事 WSLabi が脆弱性を売買するサイトを開設 Mozilla、『Firefox 3.0』最後のアルファ版を公開 Firefox から直接 Flickr などへファイルをアップできる「FireUploader」 LZH ファイルに注意！〜シマンテックが一部の「Lhaca」における脆弱性を発見 Rubyを使ってWebアプリケーションの脆弱性を早期に検出する 関連テーマ ブラウザ Mozilla users ★最新トップニュース アットネットホームと NNS が高度利用者向け地震速報配信を開始（Webビジネス 5月21日 17:50） J:COM グループのインターネット接続サービスプロバイダーであるアットネットホームは2008年5月21日、日本ネットワークサービスへ端末演算方式による緊急地震速報サービスを提供すると発表した。 ゆうちょ銀行、オンラインサービスにベリサイン証明書を採用（Webファイナンス 5月21日 17:50） ゆうちょ銀行が EV SSL 証明書「ベリサイン グローバル・サーバ ID EV」を採用した。 KLab、みずほと三井住友の i アプリバンキングのバージョンアップ開発を受託（E-コマース 5月21日 17:40） みずほ銀行と三井住友銀行から、NTT ドコモのｉアプリバンキング電子決済サービス「Pay-easy 税金・各種料金払込みサービス」機能における、銀行プログラム部のバージョンアップ開発を受託した。 日本 HP、アルミ×マグネシウム合金ボディの低価格・ハイスペックミニノートを発表（Webテクノロジー 5月21日 17:40） 日本 HP は、2008年5月21日、HP 初のミニノート PC「HP 2133 Mini-Note PC（HP Mini）」を発表した。 カカクコム、IT エンジニア向けコミュニティ「okyuu.com」β版を開設（Webビジネス 5月21日 17:10） 株式会社カカクコムは2008年5月21日、IT 関連ノウハウを皆でポスト（投稿）し、共有できる IT エンジニア向けコミュニティ「okyuu.com（オキュウコム）」β版を開設した。 オススメのＩＴ系求人情報【毎週月曜日更新】 デイリーリサーチ ／ DLサイト OnlineResearchPortal　(リサーチデータバンク) モバイルリサーチ with goo Youtube MySpace Salesforce mixi アクセス解析 BlackBerry テーマ一覧はこちら 第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました DevX CodeGuru developer.com ブログ一覧 【データメーション】 成功がすべて（5月21日） 【ジュピターメディア創設者がITを斬る】 Microsoft が Yahoo を（またまた）買いたくなった理由ベスト10（5月21日） 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】 「エンジニアが育つ仕組みづくりを徹底!!」／ソニックブラスター株式会社（5月21日） 【最新テクノロジーの意外な処方箋】 カメラ内蔵の標識（5月20日） 【Skypeブログ出張版】 Skypeにも対応、統合アドレス帳Ripplex（5月19日） 【Graphic Design Forum】 Lemon Poppy Seed （5月19日） IT マネジメント 職場でフリーソフトウェアは使うべきか？（5月21日） e-Japan 先端テクノロジー解説 次世代住民情報システムの方向性について（5月21日） 百式のネットビジネス研究 腕につけられる、どこでもメモ帳＆ペン「WristWriter」（5月21日） DevX Eclipse Web Tools PlatformとMavenの統合（5月20日） エンジニア転職ノウハウ開発室 30代技術者が不満に感じる同年代との学歴・給与格差（5月20日） アイレップの SEM フロンティア NTT ドコモ×Google でモバイル SEM 戦略はどう変わる？（5月20日） ウィジェット・ガジェットビジネス研究所 ウィジェット、ガジェットをビジネスにしている会社（5月19日） 15 seconds AJAX SlideShowおよびTreeViewコントロールを使用してスライドショーを作成する（5月16日） 最新アフィリエイト事例にみる成功の法則 アフィリエイト市場動向（5月16日） 最新ハイテク講座 全自動からオゾンの力まで！ハイテク洗濯機の最新事情（5月16日） セキュリティチャネル テレコムチャネル サーチエンジンウォッチ 海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ 関連企業のサイト：ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルTシャツ ニタコエ Copyright 2008 Jupitermedia Corporation All Rights Reserved.