Mozilla 1.6以前とNetscapeに脆弱性

IEの代替Webブラウザとして注目されている「Netscape」「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。

[高橋睦美，ITmedia]

　AOLの「Netscape」と、オープンソースのWebブラウザ「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。

　この脆弱性は、SOAPメッセージを処理するSOAPParameter オブジェクト コンストラクタに起因する。JavaScriptなどで細工を施したWebページを読み込ませることによって、攻撃者がリモートから任意のコードを実行することも可能という、危険性の高い問題だ。

　問題を指摘したiDEFENSEによると、脆弱性が確認されたのはNetscape 7.1以前とMozilla 1.6。それ以前のバージョンにも同様の脆弱性が存在する可能性がある。

　Mozillaの最新バージョンであるMozilla 1.7.1では、この問題は修正されているという。iDEFENSEではこのバージョンにアップグレードするか、それが無理ならばNetscape上でJavaScriptを無効にするよう推奨している。

　iDEFENSEのアドバイザリを見る限り、同社は、Netscapeにはこれ以上のバージョンアップはあり得ないと判断している模様だ。だがNetscapeについては、近い時期に新バージョンのリリースが噂されている（別記事参照）。