Firefox、XSSの脆弱性修正パッチを近く公開へ
jar:プロトコルの脆弱性に対処したFirefoxのパッチは現在テスト中。この脆弱性を突いたGmail攻撃のコンセプト実証コードも存在するという。 Firefoxブラウザに未パッチの脆弱性が見つかった問題で、Mozillaはこの脆弱性を修正したバージョンの開発を進めていることをセキュリティブログで明らかにした。 脆弱性は、Firefoxがサポートしているzipファイル解凍のためのjar:プロトコルに関して指摘されている。Mozillaのブログによると、この問題を突かれるとクロスサイトスクリプティング(XSS)などの攻撃を仕掛けることが可能になり、ユーザーがコンテンツを投稿できるサイトなどを通じて悪用される恐れがある。 この脆弱性を利用して、攻撃者が被害者のGmailの連絡先にアクセスできることを示すコンセプト実証コードも存在するという。 この問題に対処したFirefox 2.0.0.10は
Firefoxに危険度「高」の脆弱性、最新版にアップデートを
仏セキュリティ機関FrSIRTは11月26日、Mozilla Foundationの「Firefox」ブラウザおよび「Seamonkey」スイートで3件の脆弱性が発見されたと報告した。危険度は4段階中最も高い「Critical」としている。 1つ目の脆弱性は、不正な形式のデータを処理する際にメモリ破損エラーが生じるというもの。攻撃者がこれを悪用すると、ユーザーをだまして不正なWebページに誘導することで、ブラウザをクラッシュさせたり、任意のコードを実行することが可能になる。 2つ目の脆弱性は、「window.location」プロパティを設定する際に競合状態が起きることが原因。この脆弱性を悪用すると、クロスサイトリクエストフォージェリ(CSRF)攻撃を実行できるという。 3つ目の問題は、「jar:」を処理する際のエラーが原因で起きる。この問題を突かれるとクロスサイトスクリプティング(XSS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
