Firefox に危険な欠陥。対処法は JavaScript の無効化

2005-5-9 09:10
このエントリーをはてなブックマークに追加

Secunia の勧告によると、Mozilla Firefox に二つの新たな欠陥が見つかったとのこと。

1つ目は、履歴リストから実行される他サイトの URI から、IFRAME の JavaScript が適切に保護されていないというものらしいです。具体的なことがわからないので、意味不明な文章になっていますがすみません。

2つ目は、InstallTrigger.install()IconURL パラメータが適切に検証されていないため、細工された JavaScript URL により、権限を越えた任意コードが実行できるというもの。ただし、攻撃を成功させるには、ソフトウェアのインストールが許可されたサイトでなければなりません。デフォルトでは update.mozilla.org および addons.mozilla.org となっています。

しかし、1番目と2番目の欠陥を組み合わせることにより、任意のコードを実行できてしまいます。この攻撃手法は既に公になっていて、Secunia では危険度を最大の Extremely critical としています。最新版の 1.0.3 に欠陥があることが確認されています。回避方法は JavaScript を無効にすること。

現時点では、Mozilla Suite や Galon などに同様の欠陥があるかどうかは不明です。

追記

JavaScript の無効化以外にも、ソフトウェアのインストールを無効化することでも、この欠陥を回避できるそうです。このオプションはデフォルトで有効になっていますので、オプション画面でチェックを外します。

20050509_firefox.png

1件のコメント

  1. Mozilla 1.7.8 & Firefox 1.0.4 リリース

    危険な欠陥を修正した Mozilla 1.7.8 と Firefox 1.0.4 が登場しました。Firefox に危険な欠陥。対処法は JavaScript の無効化の欠陥のほか、いくつかの修正がなされているそうです。Gecko のバージョンは 20050511 となっています。 Firefox については、日本語版パッケ…

    トラックバック by 津田ふみかの日記2005-05-13 12:24

Sorry, the comment form is closed at this time.

34 queries. HTML convert time: 0.067 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン