Mozilla 1.6以前とNetscapeに脆弱性

IEの代替Webブラウザとして注目されている「Netscape」「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。

» 2004年08月03日 20時49分 公開
[高橋睦美,ITmedia]

 AOLの「Netscape」と、オープンソースのWebブラウザ「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。

 この脆弱性は、SOAPメッセージを処理するSOAPParameter オブジェクト コンストラクタに起因する。JavaScriptなどで細工を施したWebページを読み込ませることによって、攻撃者がリモートから任意のコードを実行することも可能という、危険性の高い問題だ。

 問題を指摘したiDEFENSEによると、脆弱性が確認されたのはNetscape 7.1以前とMozilla 1.6。それ以前のバージョンにも同様の脆弱性が存在する可能性がある。

 Mozillaの最新バージョンであるMozilla 1.7.1では、この問題は修正されているという。iDEFENSEではこのバージョンにアップグレードするか、それが無理ならばNetscape上でJavaScriptを無効にするよう推奨している。

 iDEFENSEのアドバイザリを見る限り、同社は、Netscapeにはこれ以上のバージョンアップはあり得ないと判断している模様だ。だがNetscapeについては、近い時期に新バージョンのリリースが噂されている(別記事参照)

Copyright © ITmedia, Inc. All Rights Reserved.