セキュリティ情報
MozillaおよびFirefox双方に危険な脆弱性、最新版リリースされる
Linux/UNIX系OS用の「Mozilla Firefox」及び「Mozilla」の双方に危険な脆弱性が発見された。Mozilla Foundationは9月21日、この脆弱性を解消した「Mozilla Firefox 1.0.7」及び「Mozilla 1.7.12」を公開した。現時点では、「Mozilla Firefox 1.0.7」は英語版と日本語版、「Mozilla 1.7.12」は英語版のみ公開されている。
発見された脆弱性は、別のアプリケーションからMozillaを起動する際などに、Mozillaに引数として渡すURLのチェックが不十分であることが原因。「’」で囲まれURLに埋め込まれているコマンドが、LinuxまたはUNIXのシェルによって実行されてしまうという。また、このバグが悪用されるのは、ブラウザ使用中以外にも起こりうるという。
もう一つのセキュリティ・バグは、IDN(国際化ドメイン名)機能に関係したもの。複数のダッシュだけからなるロング・ネームでホストを指すリンクを作成することで、Firefoxに任意のコードを実行させることができる。攻撃者はこの欠陥を利用してバッファ・オーバーフロー攻撃を仕掛けることができる。
(川原 龍人/びぎねっと)
[関連リンク]
もじら組
Firefox 1.0.7日本語版(もじら組)
Mozilla 1.7.12英語版(もじら組)