【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[北米]
「Firefox」に危険なセキュリティ・バグ、回避のための設定変更コードが公開
(2005年09月12日)
Mozillaファウンデーションは9月9日、Webブラウザ「Firefox」の国際化ドメイン名(IDN)機能サポートに見つかった深刻なセキュリティ・ホールの危険を回避するためのパッチ(設定変更コード)および手順の説明を公開した。問題そのものを解消するコードの提供時期はまだ未定である。
このセキュリティ・ホールは、Mozilla FirefoxとMozilla Suiteのすべてのバージョンに影響する。攻撃者は、ダッシュ記号だけから成るロング・ネームのホストを指し示すリンクを使用して、バッファ・オーバフローを引き起こし、Firefoxで任意のコードを実行させることができるという。理論的には、この弱点を突いて他のユーザーのマシンを制御することが可能だ。
Mozillaファウンデーションが今回公開したパッチ(設定変更コード)と手順の説明は、単にIDNを無効にするものである。IDN機能が必要で、無効にすることができないユーザーは、この問題が本当に解消されるコードが提供されるまで、IDNのWebサイトへのアクセスを既知の信頼できるサイトだけに限定することで危険を回避してほしい、とMozillaファウンデーションのエンジニアリング担当ディレクター、マイク・シュレップファー氏は語っている。
この問題の存在は、同週前半にMozilla開発チームに報告された。この問題はすでにWeb上で公表されており、その弱点を実際に突くウィルス等はまだ登場していないが、概念実証コードは公開されているという。
(IDG News Service)
- Mozillaファウンデーションのセキュリティ・センターのWebページ(英文)
- http://www.mozilla.org/security/
