Firefoxがアップデート・・・だが!

 Mozillaは米国時間11月26日、「Firefox」のバージョン2.0.0.10をリリースした。今回の更新は影響力の大きいセキュリティ脆弱性3件に対処するものだ。2件は特定のサイトの訪問時に個人情報を盗むために利用可能なクロスサイトリクエストフォージェリ(CSRF)攻撃に対処するものであり、1件はメモリ破壊に関するものである。

 更新はすべての現行Firefoxユーザーに配布されている。新規ユーザーは最新のFirefoxのリリースをダウンロードできる。

 CSRFに関する1件目の脆弱性は、window.locationプロパティを設定するタイミングを利用して偽のHTTP Refererヘッダを生成することを可能にするものだ。

 Mozillaでは、Refererヘッダは本来スクリプトが実行されたコンテンツのアドレスを反映するはずだが、「代わりに、リファラには、スクリプトが実行されたウィンドウ(またはフレーム)のアドレスが設定されていた。この脆弱性はそのわずかな違いから生じていた」と指摘している。 Mozillaではこの脆弱性を実証した人物としてGregory Fleischer氏の名前を挙げている。

 CSRFに関する2件目の脆弱性はJAR ZIP形式に関するものである。JAR ZIPはウェブサイトが、Javaアーカイブ形式の署名を含むZIPアーカイブにパッケージされたページをウェブサイトが読み込むことを可能にするものだ。

 Mozillaによると、リダイレクトを使うとMozillaのブラウザはJARコンテンツの提供元を正しく解釈できなくなることが Beford.orgのブロガーによって指摘されたという。そのコンテンツが「実際の提供元ではなくリダイレクト先のサイトから提供されているかのように誤認されてしまう。これは、一般に公開されているリダイレクトサービスを利用すれば、アップロードを許可していないサイトに対してもクロスサイトスクリプティング(XSS)攻撃を行うことが可能だった」

 この脆弱性を利用してユーザーのGmailコンタクトリストを盗む方法が示された概念実証コードがすでに存在する。Mozillaではこれを実証したセキュリティ研究者としてJesse Ruderman氏とPetko D. Petkov氏の名前を挙げている。

 3件目の更新はメモリ破壊に関するものであり、Firefoxの安定性を向上するための3件のバグ修正が含まれるとMozillaでは説明している。この場合の問題点は、条件が整えばこうしたメモリクラッシュの一部を利用して任意のコードを実行することが可能だった点である。


http://japan.cnet.com/news/sec/story/0,2000056024,20361935,00.htm?ref=rss

Firefoxアップデートのニュースを受けてVineLinuxでもapt-getでアップグレード・・・なぜか、その後Firefoxがまったく起動できなくなりました。


使っていたのはFirefoxコミュニティエディション。なぜそのものずばりのFirefoxでないのかという点は各自調べていただくとして、アップデートしたらクラッシュしちゃったのは事実。う〜ん、困ったぞ。



posted by tantakatan at 16:32 | Comment(2) | TrackBack(2) | Linux | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
こんばんは。トラックバックありがとうございます。
tbmaster@TB_Idea_Notesです。

2.0.0.10、アップデートしましたが、うちの環境(iMac G5, Mac OS X 10.5.1)では、今のところ
無事、立ち上がってます。(単に立ち上がって使えるようなふりをしてるだけだったりして...)
Posted by tbmaster at 2007年11月28日 21:31
コメントありがとうございます。

逝ってしまったのはVine on MAGNIA Z310。
Firefoxコミュニティエディションが走っておりました。

完全にウンともスンとも言わない(/_;)ので、いろいろと対策を講じたのですが・・・。そのお話はまたいずれ。
Posted by webmaster at 2007年11月29日 07:15
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック

Firefox 2.0.0.10がリリース
Excerpt: Webブラウザ「Firefox」が、バージョンアップされました。 Firefox
Weblog: TB_Idea_Notes
Tracked: 2007-11-28 21:25

ソフトニュース 気をつけて! Firefoxに危険度「高」の脆弱性、最新版にアップデートを
Excerpt: 今日の紹介は、気をつけて! Firefoxに危険度「高」の脆弱性、最新版にアップデートを のニュースです 今日、筆者が気になったソフトニュースは Firefoxに危険度「高」の脆弱性、最新..
Weblog: SEが薦める役に立つ フリーソフト & ソフト
Tracked: 2007-11-29 06:02
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。