« Fedora Project独立へ | トップページ | Fedora Core 4 リリース »

2005/06/08

Firefoxで脆弱性が再発

CNET Japanの記事より:

 7年前から知られている脆弱性が、最新のFirefoxブラウザにも存在していることが判明したと、Secuniaが警告を発した。この脆弱性を悪用すると、攻撃者は、第三者が運営するウェブサイト上に悪質なコンテンツを表示させることができてしまう。

[関連記事]
INTERNET Watch:「Firefox 1.0.4」「Mozilla 1.7.8」に“7年もの”の脆弱性が再発

最近、CNETのTBが増えてますが、Firefoxのセキュリティ関連の報告が多発しているので…(苦笑)

この脆弱性は、INTERNET WatchからリンクされているSecuniaのテストページで確かめる事が出来ます。要は、フレーム(FRAME)を使用しているサイトで、そのフレーム内に、別サイトのコンテンツを表示させてしまえるという問題です。これを悪用すると、本物そっくりの入力画面を表示させて個人情報を盗み出す事が可能になります。

これを避けるには、個人情報(パスワード、口座番号、クレジット番号等)の入力画面があるサイトを開いた場合、他のサイトは開かない(タブ、新しいブラウザ起動共)という方法を採らなければなりませんが(Secuniaは「信頼できるサイトとそうでないサイトを同時に訪問しない」よう勧告している)、複数のサイトを閲覧しながら、このようなサイトを開く事はよくあるので、気を付ける必要があります。

今回の脆弱性で深刻なのは、フィッシングが出来てしまうという事の他に、一度修正された問題が、再度発生した、いわゆる「先祖返り」が発生した点です。

ソフト開発をしていると、よくあることなのですが、過去の修正意図が伝わらずに不具合が復活するという典型的な例です。これは、新たに発見される不具合よりも深刻な問題で、品質保証そのものに対する大きな脅威になります。そのために、バグ・トラッキング・システム(この場合、Bugzzila?)等を使て修正意図を共有し、ソースにコメントして注意を喚起し、自らの修正が他の部分に影響が無いかを慎重に調査しなければなりません。また、テスト・チームは、今回のリリースでFixされた問題点のテストだけでなく、影響がありそうな過去の問題についても検証しなければならなくなります。バージョンアップで最も大変な作業が、実はこれなのです。

信頼性に大きく影響する問題なので、Firefoxにとっては、大きな打撃と言えるのではないでしょうか。

|

« Fedora Project独立へ | トップページ | Fedora Core 4 リリース »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/62500/4463647

この記事へのトラックバック一覧です: Firefoxで脆弱性が再発:

« Fedora Project独立へ | トップページ | Fedora Core 4 リリース »