MozillaのFirefoxブラウザに関する未パッチの脆弱性情報が公開され、米US-CERTが11月8日、アドバイザリーを発行した。
US-CERTによると、脆弱性は、Mozillaベースブラウザがサポートしている圧縮ファイル解凍のためのjarプロトコルに関して指摘されている。
攻撃者が脆弱性のあるサイトに細工を施したアーカイブを置き、ユーザーがMozillaベースのブラウザでこのファイルを開くように仕向けることにより、この問題が悪用される恐れがある。
攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング(XSS)攻撃を仕掛けることが可能になる。ユーザーがFirefoxのアドオンで悪質なURIを開いた場合、任意のコードを実行される恐れもある。
現時点で公式パッチは存在せず、プロキシサーバやアプリケーションファイアウォールを使ってjarを含むURIを遮断する方法などが、回避策として挙げられている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR