2005年01月25日(火) 19時32分

Firefoxなどに12件のセキュリティ勧告を公開〜最新版では修正済み（impress Watch）

　米Mozilla Foundationは21日、Firefox、Thunderbird、Mozillaに関する12件のセキュリティ勧告を公開した。勧告で示されている脆弱性については、いずれも各ソフトの最新版で修正されている。

　12件のうち、重要度が“高”となっている7件は以下の通り。

　「MFSA 2005-05」は、複数のタブを開いた際に発生する脆弱性で、背面のタブに開かれた悪質なコンテンツが、信頼できるサイトによって開かれたように見せかけた確認ダイアログを表示させることができるといったもの。対象となるのはFirefoxおよびMozilla。

　「MFSA 2005-06」は、「news:」を用いた悪質なURLによってヒープオーバーランを引き起こすことが可能となるもの。対象となるのはMozillaおよびThunderbird。

　「MFSA 2005-07」は、スクリプトによって発生させられたイベントによって、リンク先を確認なしにダウンロードさせられるもの。対象となるのはFirefox。

　「MFSA 2005-09」は、Webブラウザにプロキシが設定されている場合、設定されているプロキシサーバーに応答するだけでなく、SSL接続を使用したサーバーからのプロキシ認証要求に応じてしまうというもの。これにより、NTLMやSPNEGO証明書が組織外に漏洩してしまう可能性があるという。対象となるのはFirefoxおよびMozilla。

　「MFSA 2005-10」は、Windowsで「javascript:」を含むリンクをクリックした場合に、Firefoxが標準ブラウザに設定されていても、Internet Explorerが起動してしまうというもの。対象となるのはThunderbird。

　「MFSA 2005-11」は、メールクライアントでHTTPを通じてコンテンツを読み込んだ際に、標準ではでCookieが無効になっているのを無視して、Cookieの要求に応じてしまうという問題。これにより、迷惑メールなどでメッセージに含まれたCookieが、ユーザーの行動追跡に利用される可能性があるという。対象となるのはMozillaおよびThunderbird。

　「MFSA 2005-12」は、「javascript:」を含むURLをライブブックマークとして使用した場合に、ページ内のCookieやデータを盗まれる可能性があるというもの。対象となるのはFirefox。

　いずれの脆弱性も、Firefox 1.0、Mozilla 1.7.5、Thunderbir 1.0などの最新版では修正されており、Mozilla Foundationでは最新版へのバージョンアップを推奨している。

関連情報

■URL

　 Mozilla Foundation セキュリティアドバイザリ

　 http://www.mozilla-japan.org/security/announce/

■関連記事

・ MozillaとFirefox、ダウンロード時のダイアログボックスに脆弱性（2005/01/06）

・ Mozilla、Operaなど多くのブラウザにダイアログボックス偽装の脆弱性（2004/10/21）

（ 三柳英樹 ）

2005/01/25 14:44

http://headlines.yahoo.co.jp/hl?a=20050125-00000015-imp-sci