パスワード一元管理のFirefoxアドオンに脆弱性、アカウント制御される恐れ
パスワード一元管理サービスのLastPassは7月27日、ユーザーに悪質なWebサイトを閲覧させるだけで攻撃者がアカウントを制御できてしまう脆弱性が報告され、アップデートを配信して対処したことを明らかにした。 同社によると、この脆弱性はLastPassのFirefoxアドオンに存在していて、Googleのセキュリティ研究者テイビス・オーマンディ氏から26日に報告を受けた。 フィッシング詐欺などを通じてユーザーが悪質なWebサイトを閲覧すれば、攻撃者がそのユーザーに気付かれないままLastPassの動作を実行し、アイテムを削除するといったことができてしまう状態だったという。 LastPassはバージョン4.0を使っている全Firefoxユーザー向けに、この問題を修正した更新版のバージョン4.1.21aをプッシュ配信した。一方、バージョン3.0や、Firefox以外のWebブラウザは、この問題
Firefoxの倒し方
This document summarizes Content Security Policy (CSP), a browser feature that helps mitigate cross-site scripting and other attacks. It discusses CSP's directives for controlling resource loading, browser support, syntax, and violation reporting. It also notes potential issues with abuse of CSP violation reports if not properly validated and formatted on the server-side.
Firefox 16.0 の脆弱性は実は全てのバージョンで影響 - Windows 2000 Blog
Firefox 16.01 で対応された重要な修正は、CVE 2012-4193「DefaultValue に対するセキュリティチェックが適用されない」と CVE 2012-4192「ロケーションオブジェクトへのクロスドメインアクセスが可能になってしまっている」の2つだった。 この2つの脆弱性は、Firefox ESR (法人ユーザー向け延長サポート版)にも影響を与えることが判明したため、Mozilla は Firefox ESR 10.09 もリリースしている。 おぃおぃ、と思って調べてみたら、 Firefox 10.0.9 ESRで影響を受けるのは CVE 2012-4193 だけのようだ。 National Vulnerability Database (NVD) National Vulnerability Database (CVE-2012-4193) 正確には、 Firefo
Firefox 更新時に Flash のバージョンチェックを実施 - えむもじら
Mozilla Security Blog によると、Mozilla Flux で報告のあった通り、来週にもリリースが予定されている Firefox 3.5.3 と 3.0.14 の更新時に表示されるウェルカムページで、古い Adobe Flash Player を使用しているユーザに対して警告が表示されるようです。最近の報告によると、80% のユーザが古い Flash を使用しています。 他のプラグインベンダーに対しても、同様のチェックができるよう働きかけているそうです。 Helping People Upgrade Flash | Blog of Metrics FirefoxのFlashチェック機能は効果大、1,000万人がアドビの更新サイトにアクセス : セキュリティ・マネジメント - Computerworld.jp Firefoxの警告が奏効、1000万人がFlashの更新サイ
NoScriptの全面譲歩で決着 - Mozilla Flux
予想外にあっけない幕切れだった。NoScript 1.9.2.6がリリースされ、1.9.2.4で問題になっていたホワイトリストは自動的に削除されるようになった。そして、二度と追加されることはない。NoScriptの作者Giorgio Maone氏は、公式サイトのほか、自己のブログにも謝罪文を掲載した(『Dear Adblock Plus and NoScript Users, Dear Mozilla Community』)。 大きな反響をいただき、台湾からのトラックバックさえあった『Adblock Plus vs. NoScript』の続報である。筆者は対立が長引くと見ていたのだが、わずか数日でNoScriptが全面的に譲歩する結果となった。Maone氏の謝罪文には経緯も説明されているので、まずはそれを見てみよう。 NoScript作者から見た争いの経緯 やはり今回の争いの発端はEasy
Firefox 3に早くもゼロデイの脆弱性、任意のコード実行の恐れ
リリースされたばかりのMozillaブラウザの最新版Firefox 3に、早くも深刻な脆弱性が見つかった。 TippingPointは6月17日付で、Firefoxのゼロデイの脆弱性に関するアドバイザリー予告をサイトに掲載した。深刻度は「高」となっている。パッチ公開まで脆弱性の詳しい内容は公開しない方針。 TippingPointはFirefox 3.0の正式リリースから約5時間後に、この脆弱性に関する情報を研究者から入手し、確認したという。 脆弱性はFirefox 3.0と2.0.xに存在する。悪用された場合、ユーザーがメールに記載されたリンクをクリックしたり、悪質なWebページを閲覧したりすると、攻撃者が任意のコードを実行できるようになる。 Mozillaには既に通報済みで、現在対応に当たっているという。 過去のセキュリティニュース一覧はこちら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
