« Firefoxの普及 | トップページ | Firefox脆弱性の追記 »

2005/05/10

Firefoxに2件の「非常に重大な」脆弱性

セキュリティ会社secuniaがFireFoxの脆弱性について報告。対象は最新のFireFox Ver.1.0.3も含まれ、危険度は最高レベル。

いよいよFireFoxもセキュリティ・ホールが発見され始めました。今回のは特に危険度が高いようです。

脆弱性として指摘されたのは2件:


  • IFRAMEのJavaScript URLが適切に保護されてなく、履歴リスト内の別のURLが実行されてしまう危険性
  • 以前開いた他のウェブサイトからクッキー情報を盗み出される恐れがあり、攻撃者はその情報を利用してID窃盗をしたり、パスワードで保護されたサイトにアクセスしたりする可能性がある。

  • InstallTrigger.install()のIconURLパラメタにに引き渡された情報が使用前にきちんと検証されない。
  • 攻撃者がユーザー権限を入手できてしまう。この欠陥を利用すると、攻撃者はあるシステム上のユーザー権限を入手することができてしまう。

Mozillaから、この問題に対する修正版はまだ出ていないが回避策が公表されている。これによると、JavaScriptをOFFにし、ソフトウェアのインストールを許可するWebサイトを消してしまう(元々、FireFoxの拡張機能等をアップデートするためのサイトが登録されていた)という処置が必要との事である。

これでは、JavaScriptを使用しているサイトが正常に見れない事になり、現実的な対応だとは言い難い。多くのユーザは、IEより対応が早いと考えてFireFoxに乗り換えているだろうから、早急に修正版をリリースしなければFireFoxへの信頼感そのものが揺らぐ結果になりかねないように思う。

メジャーになったブラウザは攻撃対象になり易く、セキュリティ・ホールの発見も相継ぐだろう。後は、如何に早く対応するかが生き残りの鍵になるように思う。今回の問題は、今後のFireFox普及の試金石になるのではないだろうか。

|

« Firefoxの普及 | トップページ | Firefox脆弱性の追記 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/62500/4067468

この記事へのトラックバック一覧です: Firefoxに2件の「非常に重大な」脆弱性:

» 最新版Firefox(1.0.3)に重大な脆弱性 [星を見る人]
IEより高機能であることから人気を獲得しつつあるFirefoxは セキュリティがガチガチに固めているわけではありません。 当時は人気がなく、欠陥が発見されにくなかったのが理由です。 ですが最近急激に人気が出てきた...... [続きを読む]

受信: 2005/05/10 23:54

» Firefoxに任意コードが実行される脆弱性 [k-MT]
 またjavascriptですか。使い方次第で神にも悪魔にもなる言語という印象です。IEにしろFirefoxにしろ、デフォルト設定でjavascriptを切っておくのがいいと思うですよ。。。  本脆弱性は、IFRAMEタグのSRC属性や、“拡張機能マネージャ”画面に表示するアイコンを指定する“iconURL”の処理に起因し、Javaスクリプトによる細工で任意のコードが実行される恐れがあるとのこと。たとえば、攻撃者が作成した悪意のあるWebページを開き任意の場所をクリックするだけで、任意のソフトがイン... [続きを読む]

受信: 2005/05/11 04:25

« Firefoxの普及 | トップページ | Firefox脆弱性の追記 »