窓の杜Logo
NEWS (04/09/15 18:35)

Mozilla v1.7.3、Thunderbird v0.8、Firefox v1.0 Pre版で修正された脆弱性

脆弱性のなかには報奨金制度を利用して報告されたものが含まれている

 アメリカ・カリフォルニア州を拠点とするMozilla Foundationは、13日(現地時間、以下同)に「Mozilla」v1.7.3、14日に「Thunderbird」v0.8と「Firefox」v1.0 Preview Releaseをリリースし、各ソフトのWindows版に共通して存在する合計8個の脆弱性を修正している。

 今回報告された脆弱性のなかで比較的危険度が高いものから順に挙げていこう。特別に細工が施されたBMP画像を含むWebページを表示したり、メールなどに添付された悪意ある電子名刺“vCard”を開くと、バッファ・オーバーランが発生し任意のコードが実行されるという。また、ASCII文字列ではないホスト名のWebサイトに接続すると、ヒープ・オーバーランが発生し任意のコードが実行されるとのこと。

 さらに、“send page”関数を利用して非常に長いURLのWebページを表示したり、悪意あるPOP3サーバーに接続するとヒープ・オーバーランが発生し任意のコードが実行されるという。そのほか、許可されたスクリプトコードを悪用して信頼できるWebサイトに装ったり、特別に細工を施したJavaScriptを悪用し、クロスドメインの脆弱性を誘発したり、クリップボード内のデータをリモートで盗み見ることができるとのこと。

 今回の脆弱性のなかには、同団体が8月2日より実施している報奨金制度を利用して報告されたものが含まれており、本制度が開始されて以来初めて報奨金が支払われた。また、受賞者の1人は報奨金をそのまま同団体に寄付したという。


□Mozilla - Home of the Firefox web browser, Thunderbird and the Mozilla Suite
http://www.mozilla.org/
□Mozilla Security Advisory
http://www.mozilla.org/projects/security/known-vulnerabilities.html
□First Security Bug Bounty Payments Awarded
http://www.mozilla.org/press/mozilla-2004-09-14-01.html
□窓の杜 - 【NEWS】Mozilla Foundation、メールソフト「Thunderbird」のv0.8 英語版をリリース
http://www.forest.impress.co.jp/article/2004/09/15/thunderbird08en.html
□窓の杜 - 【NEWS】Mozilla Foundation、「Firefox」v1.0 Preview ReleaseをRC版から本公開へ
http://www.forest.impress.co.jp/article/2004/09/15/firefox10pr.html
□窓の杜 - 【NEWS】RSSの最新記事タイトルをブックマークとして取り込める「Firefox」v1.0 Pre版
http://www.forest.impress.co.jp/article/2004/09/13/firefox10prrc.html
□窓の杜 - 【NEWS】Mozilla Foundation、「Mozilla」の深刻な脆弱性を発見した人に500ドルの賞金
http://www.forest.impress.co.jp/article/2004/08/03/mozillabounty.html

(中井 浩晶)



トップページへ

Copyright (c) 2004 Impress Corporation All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで