【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
モジラ、Firefoxで見つかった脆弱性の危険度を「低」から「中」に変更
「2つの脆弱性が同時に悪用されると危険度が高まる」
(2007年06月07日)
米国モジラ・コーポレーションは、数日前に発見された「Firefox」の2件の脆弱性について、当初は危険度を「低」と評価していたが、数時間後に「2つの脆弱性が同時に悪用されると危険度が高まる」として同評価を変更していたことが明らかになった。
今回の脆弱性を発見した研究者で、Webブラウザのバグを定期的に発表しているマイケル・ザレウスキー氏は4日、「Full-disclosure(事実の解明)」と題したメーリング・リストの投稿メールの中で、Webブラウザに関する4件の脆弱性を発表。そのうちFirefoxに関連する2件の危険度をそれぞれ「高」「中」と評価した。
モジラのチーフ・セキュリティ・オフィサーのウィンドウ・スナイダー氏は5日、先週開設したばかりセキュリティ・ブログ(blog.mozilla.com/security/)で、ザレウスキー氏が危険度「高」と評価したバグについて、危険度を「低」と判定したうえで、次のようにコメントしていた。
「この脆弱性は、フレームを利用して他のサイトになりすましたサイトにユーザーを誘導する危険性はあるが、コードの実行には至らない。ただ、フィッシング詐欺と組み合わせて悪用される可能性はある」
これに対して、ザレウスキー氏は電子メールによるインタビューに答え、「モジラではこのバグをよくある“サイトのなりすまし”を許すものとして危険度を『低』と評価しているが、私はそれ以上の危険性があると判断した。しかし、スナイダー氏の評価と私の分析が大きく食い違っているわけではない」と述べていた。
ところが、モジラのスナイダー氏は同日、「詳しい検証の結果、2件のバグが同時に悪用された場合、ユーザーがアクセス権限を持つシステム内の全ファイルに攻撃者のアクセスを許す可能性がある。この場合の危険度は『中』と評価される」というコメントをブログ上に追加した。
ザレウスキー氏は、モジラのスナイダー氏との間で意見の食い違いはないとしたうえで、「(今回公表した4件の脆弱性のうち)より重大なのはInternet Explorer(IE)のバグだ。他の3件にも問題はあるが、危険度は『重大』ではない」とし、その点で関係者の意見は一致していると強調した。
スナイダー氏はブログ記事の中で、危険度「低」とされたバグに関してはモジラのセキュリティ・チームが、原因と見られるコンテント・ハンドラ管理の改善に取りかかったと説明している。
一方、ザレウスキー氏は、同じく4日に配信した投稿メールの中で、アップルのWebブラウザ「Safari」に関しても、IE 6およびIE 7と同様の危険度「重大」の脆弱性があることを示唆している。
今年1月にスタートしたアップル製品のバグを公開するプロジェクト「Month of Apple Bugs(MOAB)」の推進者として知られるケビン・フィニステール氏は5日、この脆弱性を確認したことを明らかにしている。
この件に関してアップルにコメントを求めたが、回答は得られなかった。
(グレッグ・カイザー/Computerworld オンライン米国版)
- ■ 新サービス ■ うっかり誤送信を防ぐ、メール専用ホスティングとは!?
- グローバル・ビジネスを成功に導くストレージ活用術とは?
- ★レガシーマイグレーションの真実★注目され、効果的である理由はこちら
- ■水戸発「旧Office製品やWindows資産をどう移行するか?」無料セミナー
[世界]【セキュニア調査】QuickTimeのリスクはIE6の3倍、Firefoxの6倍
お寒いパッチ適用の実態が明らかに
- 【Megasite Infrastructure Strategy 2010 Report】600台の手作りサーバ群を仮想化して
コスト削減、効率向上、負荷分散、冗長化を実現
- 【Megasite Infrastructure Strategy 2010 Report】複雑化が進むECサイトで重要視すべきは
“顧客視点”でのサイト・パフォーマンス可視化
- 【Megasite Infrastructure Strategy 2010 Report】会員数4,700万人の「楽天」を支えるITインフラ
――運用のポイントは過負荷対策と仮想化
- [米国]インテル、32nmプロセスの新プロセッサ「Xeon 5600番台」を発表
- 【解説】OpenLDAPからActive Directoryへ移行せよ――(4)
