|
|
| Webテクノロジー | 2007年10月20日 14:00 |
|
Mozilla、セキュリティ更新版『Firefox 2.0.0.8』を公開 著者: Sean Michael Kerner オリジナル版を読む ▼2007年10月20日 14:00 付の記事 ■海外internet.com発の記事 Mozilla Foundation が、Web ブラウザ『Firefox』のセキュリティ更新版『Firefox 2.0.0.8』を公開した。対応したセキュリティ問題の件数は、直近の2回の更新の合計よりも多い。 最新版 Firefox 2.0.0.8 で対応した問題について、Mozilla は8件のセキュリティ勧告を公開した。そのうち少なくとも3件は、以前に修正を試みた問題の変種だ。 公開したセキュリティ勧告のうち、重要度が4段階中最大となっているものは2件ある。 重要度が最大となっている勧告の1件目「MFSA 2007-29 (メモリ破壊の形跡があるクラッシュ)」だが、Mozilla によると、ブラウザがクラッシュする際、攻撃者に悪用を許すおそれがある問題だという。 重要度が最大の2件目は「MFSA 2007-35 (Script オブジェクトを通じた XPCNativeWraper 汚染)」で、JavaScript に関連した問題だ。攻撃者はこれを悪用し、たとえばユーザーがコンテキスト メニューを開こうと右クリックしただけで、該当ユーザーの権限に基づき任意の JavaScript コード実行に至る可能性がある。 Mozilla によると、この問題は『Firefox 2.0.0.5』で修正した、深刻度がより低い問題の変種だという。 重要度が4段階中3番目に高い「MFSA 2007-32 (ファイル入力フォーカスの横取り)」も、以前に修正した問題の変種だ。Mozilla のセキュリティ勧告には次のように書いてある。「ファイル アップロード用フォーム コントロールの前に置いた、特定キーボードイベント用のラベルにページのフォーカスを切り換えることで、このファイル アップロード用フォーム コントロールの内容を、プログラム的に埋めることができる」 攻撃者がこの問題を悪用することで、ユーザーのファイルを盗み出すおそれがある。ただし攻撃者は、ファイルのフルパス名を知り、ユーザーをだまして必要な文字を入力させる必要がある。 Mozilla によると、これは『Firefox 2.0.0.4』で修正したものと同様の問題だという。 Mozilla は、Firefox のさまざまな部分で次々と表面化している URI 処理の問題についても新たに修正を施した。この問題は、『Windows』上で動作する Firefox が同じシステム上のリソースを呼び出す際に起きる問題を起点に表面化し、これまで Mozilla はいくつもの形で対応を図ってきた。 |
| トップページ | 画面トップ |
|
||
|
||
|
