悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年09月10日(土) 09時39分

Firefoxに極めて重大な脆弱性ITmediaエンタープライズ

 オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害(DoS)攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。

 問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。

 フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした。アドバイザリーと同時に、Firefoxのクラッシュを再現できるHTMLコードをWebサイト、およびメーリングリストで公開している。

 脆弱性はWindowsおよびLinux版のFirefoxバージョン1.0.6で確認された。フェリス氏の報告によれば、それ以前のバージョンと、公開されたばかりの1.5 β1も影響を受ける。またSecuniaやFrSIRTのアドバイザリーによると、Mozilla 1.7.11やNetscape 8.0.3.3/7.2にも同様に、ドメイン名処理に起因する脆弱性が存在するという。

 問題が公になった当初はパッチはリリースされていなかったが、米国時間の9月9日になって、Mozilla Foundationがパッチを含む対応策を示した。エラーが存在する国際化ドメイン名(IDN)処理(デフォルトでは有効になっている)を無効にするための暫定パッチで、Firefox 1.0.6/1.0.6.1およびMozilla 1.7.11/1.7.11.1に対応している。また、手動でIDNを無効にするよう設定(network.enableIDN)を変更しても問題は避けられるという。

 これらの対策を採るのが困難な場合は、信頼できないWebサイトを訪れないようにして自衛するしかない。Mozilla Foundationでは、より根本的な解決策の開発も進めており、将来のバージョンでフィックスされる予定としている。

 フェリス氏はアドバイザリーの中で、Mozilla Foundationには9月4日に問題を通知していたとしている。一方Mozilla Foundationは、報告を受け取ったのは4日ではなく、米太平洋夏時間で9月6日の午後だったと述べている。

 フェリス氏は今回の脆弱性以前にも、Windowsに存在するリモートデスクトッププロトコルの脆弱性(MS05-041)を報告していたほか、Internet Explorerに未パッチの脆弱性が存在することも警告している。

http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) - 9月10日9時39分更新

http://headlines.yahoo.co.jp/hl?a=20050910-00000010-zdn_ep-sci