ニュース
Firefoxに危険度「高」の脆弱性、最新版にアップデートを
FirefoxとSeamonkeyで3件の脆弱性が見つかった。Mozillaは修正版のFirefoxをリリース済み。
仏セキュリティ機関FrSIRTは11月26日、Mozilla Foundationの「Firefox」ブラウザおよび「Seamonkey」スイートで3件の脆弱性が発見されたと報告した。危険度は4段階中最も高い「Critical」としている。
1つ目の脆弱性は、不正な形式のデータを処理する際にメモリ破損エラーが生じるというもの。攻撃者がこれを悪用すると、ユーザーをだまして不正なWebページに誘導することで、ブラウザをクラッシュさせたり、任意のコードを実行することが可能になる。
2つ目の脆弱性は、「window.location」プロパティを設定する際に競合状態が起きることが原因。この脆弱性を悪用すると、クロスサイトリクエストフォージェリ(CSRF)攻撃を実行できるという。
3つ目の問題は、「jar:」を処理する際のエラーが原因で起きる。この問題を突かれるとクロスサイトスクリプティング(XSS)などの攻撃を仕掛けることが可能になる。Mozillaは既にこの脆弱性を認めている。
これらの脆弱性はバージョン2.0.0.9以前のFirefoxと、バージョン1.1.6以前のSeamonkeyに影響する。
Mozillaはこれらの脆弱性を修正したFirefox 2.0.0.10をリリース済み。脆弱性を修正したSeamonkey 1.1.7も近くリリースされるもよう。
関連記事
- QuickTimeのゼロデイ脆弱性は「極めて危険」
QuickTimeの脆弱性を突くコンセプト実証コードを使った攻撃は、Firefoxが最も被害に遭いやすいという。 - Firefox、XSSの脆弱性修正パッチを近く公開へ
jar:プロトコルの脆弱性に対処したFirefoxのパッチは現在テスト中。この脆弱性を突いたGmail攻撃のコンセプト実証コードも存在するという。 - Firefoxの脆弱性、GoogleのXSS問題に波及
Firefoxの未パッチの脆弱性が、Googleドメインで悪用される恐れがあるという。 - Firefoxに脆弱性、投稿サイト使い悪用の恐れ
攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング攻撃を仕掛けることが可能になる。 - 複数の脆弱性を修正した「QuickTime 7.3」公開
QuickTimeのセキュリティアップデートでは7件の脆弱性が修正された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.