【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
Firefoxの危険度が「高」に――修正パッチは2月5日に提供
「一部データの漏洩ではすまない危険がある」と研究者
(2008年01月31日)
米国Mozillaは1月30日、同社のWebブラウザ「Firefox」で見つかったバグの危険度を「低」から「高」へと上げたことを明らかにした。このバグの修正パッチは、2月5日に提供される予定のFirefox 2.0.0.12セキュリティ・アップデートに同梱されるという。
同社のCSO(最高セキュリティ責任者)であるウィンドウ・スナイダー(Window Snyder)氏は、「600種類以上あるアドオンのいくつかを動作させた場合に、Firefoxの脆弱性が悪用され、クッキーやセッション履歴を含む情報が盗まれるおそれがある」としている。
 |
| Eisenhaur氏のブログ・サイトhiredhacker.comの一部。バグについての追加コメントが掲載されている |
Snyder氏のこの発言は、Firefoxの同バグを最初に報告した研究者、ゲリー・アイゼンハワー(Gerry Eisenhaur)氏による新たな発表を受けたものだ。Eisenhaur氏は自身のブログ・サイト「hiredhacker.com」に、「この脆弱性がどれほど危険なものなのか、正確に伝わっていない節がある。(このバグには)単に一部のデータを漏洩させるだけでなく、それ以上の危険がある。今回もまた、sessionstore.jsファイルを読み取るデモを作ってみた。ウィンドウやタブ、クッキーなど、セッションに関する情報が漏れているのを目の当たりにできるだろう」と記している。
MozillaのSnyder氏は1月29日、「Firefoxの全ユーザーが危険にさらされているわけではない。フラット・ファイル構造を採用したアドオンをインストールしているユーザーだけが危険なのだ」と語った。
とはいえ、それに該当するアドオンの数は膨大だ。その中には「YouTube IT」や「Foxmarks Bookmark Synchronizer」といった有名どころも含まれている。Snyder氏はアドオンの作者らに、フラット・ファイル構造ではなく単一のJavaアーカイブ(.jarファイル)としてアドオンをパッケージしなおし、この脆弱性の影響を受けないようにしてほしいと促している。
なお、人気の高いアドオン「NoScript」を利用すれば、どのアドオンがインストールされていようと、脆弱性に対する攻撃から身を守ることができるという。
(Gregg Keizer/Computerworld オンライン米国版)
- 米国Mozilla
- http://www.mozilla.com/en-US/
- 【UTMアプライアンスの選び方】Wiiが当たるアンケート実施中!
- ビジネス・コミュニケーション進化論 5月27日開催 登録受付中!
- 【CIO情報戦略会議2008】6月5日(木)開催!!事前登録受付中
- 【1年後に差がつく―IT戦略集中講座開催リポート―】はこちら
- 内部統制時代のニーズに応える日立のコンテンツ・アーカイブ・ストレージ
[欧州]【XiTi Monitor調査】Firefox、欧州で28%の市場シェアを獲得
IEの牙城をジワジワと浸食?
[米国]Firefoxに情報漏洩の脆弱性――MozillaのCSOが認める
「危険度は低いが、注意は必要」とセキュリティ研究者らが警告
[米国]「Firefox 3.0」がベータ2へ――データ漏洩防止やクッキー管理の機能を強化
正式版リリースは来年春の見通し
