☆☆コミュニティサイトとの格闘-葛藤-憂鬱を綴る☆☆
スポンサーサイト
--年--月--日 (--) | 編集 |
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Firefox セキュリティ更新版
2007年11月28日 (水) | 編集 |
「Mozilla、セキュリティ更新版『Firefox 2.0.0.10』をリリース」
http://headlines.yahoo.co.jp/hl?a=20071128-00000007-inet-sci

Mozilla Foundation は26日、Web ブラウザ『Firefox』の最新セキュリティ更新版『Firefox 2.0.0.10』をリリースした。

Firefox 2.0.0.10 で対応したのは、非常に深刻なクロスサイト スクリプティング (XSS) 攻撃に対する脆弱性だ。この脆弱性の存在は、すでに数か月前から公になっていた。

Mozilla のセキュリティ勧告では、この XSS 問題を「jar: URI スキーマ」の仕組みを悪用したものだと説明している。jar: URI スキーマは、デジタル署名付きの Web ページをサポートする仕組みで、Java アーカイブ形式の署名を含む ZIP 圧縮したページを Web サイトが読み込むのに利用できる。

Mozilla のスタッフとして活動する Jesse Rudderman 氏は今年2月、Mozilla が運用している欠陥追跡システム『Bugzilla』のエントリ369814において、次のように報告していた。「バイナリ コンテンツを検査することなく、画像のアップロード (アバターなど) が可能なすべてのサイトは、XSS 攻撃に対して脆弱となる可能性が高い。攻撃者は、単に悪意のある (ZIP) ファイルをサイトにアップロードするだけで、ユーザーに『jar:』リンクを辿らせることができてしまう」

同脆弱性については、セキュリティ専門家の Michal Zalewski 氏が今月に入り、広範な Web サイトに影響を及ぼす可能性があると指摘した。これを受けて Mozilla の開発者らは、この脆弱性の危険度と悪用の可能性について再検証を進めていた。

Zalewski 氏は Bugzilla のエントリにおいて、今月10日付けで次のようにコメントしている。「この脆弱性は、当初の評価よりもかなり深刻で、対処もより困難なものだということに注意してもらいたい。302リダイレクトでセキュリティ コンテキストが適切に変わらないため、攻撃対象のサイトが悪意のある JAR ファイルをホストする必要すらない」


ほかにも前出のセキュリティ勧告では、同脆弱性を悪用すれば、Google の Web メールサービス『Gmail』にログインしている場合、そのユーザーが持つ連絡先情報を盗み出せる概念実証コードが公になったことも記している。

Firefox 2.0.0.10 では、この XSS 問題対応以外に、2つの修正を行なった。1つは、クロスサイト リクエスト フォージェリ (CSRF) 攻撃を許してしまう脆弱性だ。この脆弱性は、Firefox による HTTP Referer ヘッダ生成処理の問題で、偽のヘッダを作り出すことが可能だったという。そしてもう1つの修正では、メモリ破壊の形跡があるクラッシュに対応した。これら3件の修正は、いずれも重要度評価が上から2番目の「高」となっている。


お使いの方は最新版にバージョンアップしましょう。

ダウンロードはこちらから.......
http://www.mozilla-japan.org/
スポンサーサイト

コメント
この記事へのコメント
Netscape9も9.0.0.4にアップグレードしていますね
比較的に早くFirefoxのアップデートに対応するようになっているっぽいですね。
http://browser.netscape.com/

ちなみに、↓ここの非公式日本語パックを当てると日本語化できますね。
http://f22.aaa.livedoor.jp/~ptdb/firefox/fusion.html

Netscapeはアドオンの更新確認がうまくいかないので注意する必要があります。
2007/11/28(水) 19:27:01 | URL | jtaka[BJCB] #mtdR5rPk[ 編集]
2.0.0.10に不具合発生
2007/11/30(金) 12:41:22 | URL | jtaka[BJCB] #mtdR5rPk[ 編集]
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。