ITmedia News:Firefoxにパスワード流出の脆弱性――MySpaceで悪用の報告も
Firefoxで保存しているパスワードが自動的に外部に送信されてしまう問題が発覚。MySpaceでは正規URLで偽のログインページがホスティングされていたという。 Firefoxのパスワードマネージャに関する脆弱性が発見された。保存されたユーザー名とパスワードをユーザーが知らないうちに攻撃者に送信してしまう恐れがあるという。ブログやフォーラムなどユーザー参加型のサイトで情報を盗まれる可能性があり、人気SNSのMySpaceで実際にこの方法を使った攻撃が報告されている。 この問題はChapin Information Services(CIS)のロバート・チャピン氏が発見し、同社サイトでコンセプト実証のデモも公開した。MicrosoftのInternet Explorer(IE)でも同じ問題が起きる可能性があるが、Firefoxの方が攻撃が成功する確率が高いという。 チャピン氏はこの問題をリ
さっそく「Firefox 2.0」の脆弱性を指摘する声も--モジラは反論
「Firefox 2.0」にセキュリティ脆弱性が存在するとの報告が2件明らかになっている。米国時間10月25日、Firefox 2.0の公開から一夜明けたMozillaではこれらの2件の情報に反論している。 ソフトウェアのバグを見つけ出すセキュリティ研究者たち、通称「バグハンター」たちは現在、Firefox 2とMicrosoftが米国時間10月18日に公開したばかりの「Internet Explorer 7(IE 7)」に存在するセキュリティ脆弱性を明らかにしようと、躍起になっているように見える。IE 7の正式版に関して初めて見つかったとされる脆弱性は、18日には公表されていた。 現在、Firefox 2.0のバグに関する少なくとも2件の情報が人気の高いセキュリティメーリングリスト上を流れている。しかし、Mozillaは25日、これらの情報に反論している。 Mozillaのセキュリティ責
Setting Prefs for the Mozilla Rich Text Editing Demo
You are currently viewing a snapshot of www.mozilla.org taken on April 21, 2008. Most of this content is highly out of date (some pages haven't been updated since the project began in 1998) and exists for historical purposes only. If there are any pages on this archive site that you think should be added back to www.mozilla.org, please file a bug. Skip to main content To protect users' private inf
Firefoxに危険なセキュリティ・ホール,最新版1.5.0.5で修正
Mozilla Foundationは米国時間7月26日,Webブラウザ「Firefox」にセキュリティ・ホールが見つかったことを明らかにするとともに,セキュリティ・ホールを修正したバージョン1.5.0.5をリリースした。細工が施されたWebページにアクセスするだけで任意のプログラムを実行される危険なセキュリティ・ホールが含まれる。このためMozilla Foundationでは,すべてのFirefoxユーザーに対してアップグレードすることを勧めている。日本語版を含む各国語版の1.5.0.5がリリースされている。 最新版の1.5.0.5で修正されたのは,以下の12件のセキュリティ・ホール。このうち,「MFSA 2006-55」「MFSA 2006-51」「MFSA 2006-50」「MFSA 2006-48」「MFSA 2006-46」「MFSA 2006-45」「MFSA 2006-44
Firefoxの拡張機能として悪事をはたらくトロイの木馬,「FormSpy」
米Mozilla FoundationのオープンソースWebブラウザ「Firefox」の拡張機能として自身を組み込むトロイの木馬「FormSpy」が感染を広げている。米McAfeeが米国時間7月25日にセキュリティ情報を公開した。同社による危険度評価は「低」。 FormSpyは,すでに「Downloader-AXM」に感染しているコンピュータを攻撃する。Firefoxの拡張機能として自身をインストールし,ユーザーがブラウザ上で入力した重要情報を悪質なWebサイトに送信する。これにより,クレジットカード番号,パスワード,オンライン・バンキングのPIN番号などが盗まれる可能性がある。 また,ICQ,FTP,IMAP,POP3トラフィックからパスワードを探り出す機能も備えている。 FormSpyはMozillaのコンポーネント「NumberedLinks 0.9」を加工したもので,ユーザーにとっ
モジラ、「Firefox」の脆弱性パッチをリリース--待望のMacサポートも追加
Mozillaは米国時間4月13日、同社の「Firefox」ウェブブラウザのセキュリティ問題を修復するアップデートをリリースし、予定されていた通り、Intelプロセッサを搭載したMacへのサポートを追加した。 オープンソースブラウザであるFirefoxの開発状況を調査している「Burning Edge」サイトによると、同ブラウザに存在するバグの中で最も深刻なものは、攻撃者が脆弱なコンピュータの制御権を奪うのに悪用されるおそれがあるという。 13日にリリースされたアップデートは、Firefoxのバージョン1.5.0.2の脆弱性を修復するものだ。Firefoxの開発を統括しているMozillaは、今後2日以内にFirefox 1.5のユーザーに同アップデートを配布すると、同社の<サイトで述べている。 同社のエンジニアリング担当バイスプレジデントMike Schroepfer氏は、「今回のアップ
Firefoxなどの脆弱性をねらう攻撃用コードが公開に
FirefoxやMozillaスイート、Netscapeのユーザーを攻撃するのに利用できるコンピュータコードがインターネット上でリリースされた。Mozilla Foundationはこの数日前に、Firefoxのセキュリティ脆弱性を修正したアップデート版を公開していた。今回リリースされたコードは、このアップデート版で修正されたバグを悪用しようとする。Mozillaスイートもすでにアップデート版が出ているが、Netscapeはまだアップデートされていない。 この攻撃用コードは2週間ほど前に発見されたある脆弱性を悪用する。この脆弱性は各ブラウザによる国際化ドメイン名(International Domain Names:IDN)の処理方法に関連するもの。攻撃者らはこれまで、この脆弱性を悪用する方法の開発に取り組んできており、このコードはアップデート版の公開後にリリースされた。このコードを公開し
Firefoxのセキュリティ・ホールを突く危険なコードが出回る
米SANS Instituteなどは米国時間9月23日,Firefoxなどに見つかったセキュリティ・ホール「IDNバッファオーバーフロー問題」を突くコード(プログラム)がネット上で公開されているとして注意を呼びかけた。そのコードが含まれるページをFirefoxで閲覧すると,リモートからアクセス可能なシェルが起動され,攻撃者にパソコンを乗っ取られる可能性がある。9月23日に日本語版が公開されたFirefox 1.0.7ではこのセキュリティ・ホールは解消されている(関連記事)。 IDNバッファオーバーフロー問題を突くコード自体は,この問題の発見者により9月8日に公開されている(関連記事)。しかしながら,このとき公開されたコードは単純なもので,そのコードが含まれるWebページを閲覧するとFirefoxが不正終了するだけのものだった。 9月22日ごろから公開されているコードは,Firefox 1.
Linux版Firefoxに脆弱性、コマンドライン経由で悪用
9月20日、オープンソースのWebブラウザ「Firefox」のLinux版に、新たなセキュリティホールが発見されたことが明らかになった。細工を施されたURLをコマンドライン経由で読み込むと、任意のシェルコマンドを実行される恐れがある。 FrSIRTやSecuniaの情報によると、この脆弱性の影響を受けるのはLinux版Firefox 1.0.6以前。入力値チェックが適切に行われないことが原因となり、URLの中にバッククォート付きで仕込まれた任意のコマンドを実行してしまう可能性がある。FrSIRTやSecuniaではこの問題の深刻度を最も高いレベルに位置づけている。 ただし、コマンドライン経由で文字列を受け渡す際のチェック漏れが原因となっているため、脆弱性が悪用されるのはコマンドライン経由でFirefoxにURLが受け渡された場合に限られる。たとえば、Firefoxをデフォルトのブラウザとし
Firefoxに極めて重大な脆弱性
FirefoxにDoS攻撃を誘発する深刻な脆弱性が発見された。最新の1.5 β1も影響を受ける。Mozilla Foundationでは急遽パッチを公開した。 オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害(DoS)攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。 問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。 フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした
「このセキュリティ・ホールが狙われる」---米SANSが第2四半期版“危険リスト”を公開
セキュリティ組織の米SANS Instituteは米国時間7月26日,2005年第2四半期に公表されたセキュリティ・ホールの中で,特に危険なセキュリティ・ホールをリストアップした「Top New Vulnerabilities in Q2, 2005」を公表した。リストに含まれるセキュリティ・ホールは米Microsoft製品に関するものが6件,それ以外の製品が8件だった。リストを参考に,パッチなどをきちんと適用しているかどうか確認したい。 リストアップされているMicrosoft製品のセキュリティ・ホールは以下の6件。 Microsoft Internet Explorer Multiple Vulnerabilities (MS05-020/MS05-025) (関連記事1,関連記事2)Microsoft Exchange Server Extended Verb Overflow (M
Firefoxのアドオン「Greasemonkey」にセキュリティ上の欠陥
Mozilla Foundationが、Firefoxの機能拡張「Greasemonkey」に見つかった重要なセキュリティ上の欠陥に対処するアップデートを公開している。 Greasemonkeyは、ウェブページのデザインや動きをカスタマイズする人気の高いアドオン。今回明らかにされた欠陥が攻撃者に悪用されると、利ユーザーのローカルハードディスク上にあるすべてのファイルが読まれたり、ローカルディレクトリの内容が一覧表示されてしまうという。Firefoxの開発とマーケティングをコーディネートするMozilla Foundationのダウンロードページには、アップデート版であるGreasemonkey 0.3.5は米国時間18日にリリースされたと書かれている。 開発者がアプリケーションやアドオンを公開している「Mozdev.org」への書き込みによると、この欠陥は、初期の0.4アルファ版を含むGr
Firefoxの「Greasemonkey」拡張、脆弱性修正のアップデート
Firefoxの人気拡張機能Greasemonkeyに深刻な脆弱性が発見され、修正バージョンが公開された。ただし完全な修正版は次のリリースとなる。 Firefoxブラウザの拡張機能「Greasemonkey」に脆弱性が見つかり、これを修正したバージョン0.3.5がこのほど公開された。 GreasemonkeyはJavaScriptを使ってWebページの表示をカスタマイズできるFirefox用の拡張機能。スクリプト格納サイトを通じて幅広い人気サイト用のスクリプトが多数提供されている。 Mozillaのアドオンサイトに掲載された情報によれば、バージョン0.3.5ではGreasemonkeyの深刻な脆弱性に対処した。これを悪用されると攻撃者がユーザーのHDDにあるファイルを読むことができてしまうという。 ただ、完全な修正は次のリリースになる予定だという。現段階では「GM_*」APIがすべて削除さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Firefoxをインストールしたらまず行う設定 : audiofan.net