悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年01月06日(木) 15時33分

MozillaとFirefox、ダウンロード時のダイアログボックスに脆弱性impress Watch

 デンマークのSecuniaは4日、MozillaとFirefoxにファイルをダウンロードする際のダイアログボックスに関する脆弱性を報告した。危険度は5段階中下から2番目の「Less critical」となっている。

 発見された脆弱性は、ファイルをダウンロードする際のダイアログボックスにおいてURLが先頭部分しか表示されないため、長いサブドメインを利用することでダウンロード先を他のサイトのように偽装できるというもの。脆弱性は最新版のMozilla 1.7.5およびFirefox 1.0で確認されており、Secuniaでは信頼できないサイトからファイルのダウンロードを行なわないように呼びかけている。

 また、Secuniaでは12月30日に、Mozillaの「MSG_UnEscapeSearchUrl」関数についてバッファオーバーフローの脆弱性を報告した。危険度は5段階中上から2番目の「Highly critical」。

 この関数はNNTPの処理に関するもので、攻撃者が「news://」から始まる長いURLを指定することでユーザーのPCを停止状態にすることができ、さらにこの脆弱性を応用することでユーザーのPCに対して任意のコードを実行させる可能性もあるとしている。この脆弱性は、最新版のMozilla 1.7.5では解消されているため、SecuniaではMozillaのユーザーに対してバージョン1.7.5にアップデートするよう呼びかけている。

関連情報

■URL

  脆弱性情報(ダイアログボックスのURL偽装、英文)

  http://secunia.com/advisories/13599/

  脆弱性情報(MSG_UnEscapeSearchUrl関数オーバーフロー、英文)

  http://secunia.com/advisories/13687/

( 三柳英樹 )

2005/01/06 11:36
(impress Watch) - 1月6日15時33分更新

http://headlines.yahoo.co.jp/hl?a=20050106-00000004-imp-sci