|
Mozilla v1.7.3、Thunderbird v0.8、Firefox v1.0 Pre版で修正された脆弱性脆弱性のなかには報奨金制度を利用して報告されたものが含まれているアメリカ・カリフォルニア州を拠点とするMozilla Foundationは、13日(現地時間、以下同)に「Mozilla」v1.7.3、14日に「Thunderbird」v0.8と「Firefox」v1.0 Preview Releaseをリリースし、各ソフトのWindows版に共通して存在する合計8個の脆弱性を修正している。 今回報告された脆弱性のなかで比較的危険度が高いものから順に挙げていこう。特別に細工が施されたBMP画像を含むWebページを表示したり、メールなどに添付された悪意ある電子名刺“vCard”を開くと、バッファ・オーバーランが発生し任意のコードが実行されるという。また、ASCII文字列ではないホスト名のWebサイトに接続すると、ヒープ・オーバーランが発生し任意のコードが実行されるとのこと。 さらに、“send page”関数を利用して非常に長いURLのWebページを表示したり、悪意あるPOP3サーバーに接続するとヒープ・オーバーランが発生し任意のコードが実行されるという。そのほか、許可されたスクリプトコードを悪用して信頼できるWebサイトに装ったり、特別に細工を施したJavaScriptを悪用し、クロスドメインの脆弱性を誘発したり、クリップボード内のデータをリモートで盗み見ることができるとのこと。 今回の脆弱性のなかには、同団体が8月2日より実施している報奨金制度を利用して報告されたものが含まれており、本制度が開始されて以来初めて報奨金が支払われた。また、受賞者の1人は報奨金をそのまま同団体に寄付したという。
□Mozilla - Home of the Firefox web browser, Thunderbird and the Mozilla Suite (中井 浩晶)
|
|
|
|||||||||||
トップページへ |