悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録

2002年05月01日(水) 00時00分

NetscapeとMozillaにセキュリティーホール発覚impress

■URL
http://sec.greymagic.com/adv/gm001-ns/
http://online.securityfocus.com/archive/1/270188/2002-04-28/2002-05-04/0
http://www.netscape.com/security/bugbounty.html (Bug Bounty Program)

 イスラエルのGreyMagic Software社が30日、Netscape6.1以上とMozilla0.9.7以上にローカルファイルを呼び出せるセキュリティーホールが存在することを発表した。

 これは本来WebサーバーからXML文書を取得するために用いられるXMLHTTPコンポーネントにセキュリティーホールがあり、ローカルファイルを呼び出すことができるというものだ。GreyMagicでは実際にこのバグを試せるフォームを用意しており、編集部で試してみたたところNetscapeを使ってローカルファイルのリストを読み出すことができた。

 GreyMagicは2001年12月15日付けでMicrosoftのInternet Explorer(IE) 6に同様のセキュリティーホールがあることを指摘し、Microsoftはすでにパッチを発表している。今回の発覚によりMozillaにもIEと同じ種類のセキュリティーホールが存在したことになる。

 またNetscapeは、ブラウザーにローカルコードを実行できるような危険なバグが見つかった場合に1,000ドルを支払うという「Bug Bounty Program」を実施しているが、GreyMagicはこのバグについて「Netscapeに連絡したものの一切連絡がない」とその対応の悪さを激しく糾弾している。今後「Netscapeに一切知らせることなくセキュリティー問題の報告を行ない、セキュリティーコミュニティーにも同調を求める」としている。今後Netscape、Mozilla.orgがどのような対応を取るかが注目されるが、IE6と同様のバグを放置した上にセキュリティーホール発見者への連絡を怠るという対応の悪さによってNetscape、Mozillaの安全性に疑問が投げかけられている。

 現在、Netscape、Mozilla共にこの問題に対するパッチを発表しておらず、GreyMagicでは解決策として「Netscape Navigatorの利用者はより良いパフォーマンスのよりバグが少ないブラウザーに乗り換えるべき」と厳しく指摘している。

(2002/5/1)

[Reported by taiga@scientist.com]

http://www.watch.impress.co.jp/internet/www/article/2002/0501/grey.htm

この記事に対するコメント/追加情報を見る

ニュース記事一覧に戻る

トップページ