2004年08月03日(火) 23時34分

Mozilla 1.6以前とNetscapeに脆弱性（ITmediaエンタープライズ）

　AOLの「Netscape」と、オープンソースのWebブラウザ「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。

　この脆弱性は、SOAPメッセージを処理するSOAPParameter オブジェクト コンストラクタに起因する。JavaScriptなどで細工を施したWebページを読み込ませることによって、攻撃者がリモートから任意のコードを実行することも可能という、危険性の高い問題だ。

　問題を指摘したiDEFENSEによると、脆弱性が確認されたのはNetscape 7.1以前とMozilla 1.6。それ以前のバージョンにも同様の脆弱性が存在する可能性がある。

　Mozillaの最新バージョンであるMozilla 1.7.1では、この問題は修正されているという。iDEFENSEではこのバージョンにアップグレードするか、それが無理ならばNetscape上でJavaScriptを無効にするよう推奨している。

　iDEFENSEのアドバイザリを見る限り、同社は、Netscapeにはこれ以上のバージョンアップはあり得ないと判断している模様だ。だがNetscapeについては、近い時期に新バージョンのリリースが噂されている。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040803-00000024-zdn_ep-sci