2007年11月09日(金) 10時54分
Firefoxに脆弱性、投稿サイト使い悪用の恐れ(ITmediaエンタープライズ)
MozillaのFirefoxブラウザに関する未パッチの脆弱性情報が公開され、米US-CERTが11月8日、アドバイザリーを発行した。
US-CERTによると、脆弱性は、Mozillaベースブラウザがサポートしている圧縮ファイル解凍のためのjarプロトコルに関して指摘されている。
攻撃者が脆弱性のあるサイトに細工を施したアーカイブを置き、ユーザーがMozillaベースのブラウザでこのファイルを開くように仕向けることにより、この問題が悪用される恐れがある。
攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング(XSS)攻撃を仕掛けることが可能になる。ユーザーがFirefoxのアドオンで悪質なURIを開いた場合、任意のコードを実行される恐れもある。
現時点で公式パッチは存在せず、プロキシサーバやアプリケーションファイアウォールを使ってjarを含むURIを遮断する方法などが、回避策として挙げられている。
【関連キーワード】
Firefox |
Mozilla |
XSS
不具合解消したFirefox 2.0.0.9が公開
MS、WindowsのURI処理の脆弱性認める
http://headlines.yahoo.co.jp/hl?a=20071109-00000022-zdn_ep-sci