2005年03月02日(水) 15時32分

「Firefox」「Mozilla」の脆弱性情報17件が公開〜Firefox 1.0.1で修正（impress Watch）

　米Mozilla Foundationは、FirefoxとMozillaに関する脆弱性情報17件を公開した。いずれの脆弱性も、Firefox 1.0.1および公開予定のMozilla 1.7.6で修正されるとしている。

　17件中、最も危険度が高い“Critical”と判定されている脆弱性は、「MFSA2005-21」「MFSA2005-27」「MFSA2005-28」の3件。

　「MFSA2005-21」は、「.lnk」ファイルを2回同じ場所にダウンロードした場合にPC内の任意のファイルが書き換えられる可能性がある脆弱性。.lnkファイル以外にも、「.pif」「.url」ファイルでも同様の危険性がある。

　「MFSA2005-27」は、プラグインによって他のコンテンツを覆い隠すことができる脆弱性。公開されているデモでは、各種設定を行なう「about:config」画面を覆い隠して、画面上に「ここをダブルクリックしてください」などと表示することでユーザーを欺き、ユーザーに設定を変えさせるといった例が紹介されている。

　「MFSA2005-28」は、プラグインのテンポラリディレクトリに予想のできる名前が使われていることを悪用して、このディレクトリにシンボリックリンクを設定することで、Webブラウザを閉じた時にテンポラリディレクトリが削除されるタイミングで、任意のディレクトリを削除することが可能になるというもの。

　今回公開された脆弱性は、いずれも2月24日に公開されたFirefox 1.0.1で修正されており、Mozillaについてはまもなく公開予定のMozilla 1.7.6で修正を予定している。また、Firefox 1.0.1の日本語版は3月上旬の公開予定となっている。

関連情報

■URL

　 Mozillaの脆弱性情報（英文）

　 http://www.mozilla.org/projects/security/known-vulnerabilities.html

■関連記事

・ Mozilla Foundation、「Firefox 1.0.1」を公開〜日本語版は3月上旬予定（2005/02/25）

（ 三柳英樹 ）

2005/03/02 13:02

http://headlines.yahoo.co.jp/hl?a=20050302-00000003-imp-sci