• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

セキュリティ組織,FirefoxやThunderbirdのセキュリティ・ホールを警告

勝村 幸博=ITpro 2006/04/18 ITpro

 セキュリティ組織の米US-CERTは米国時間4月17日,Webブラウザ「Firefox」やメール・ソフト「Thunderbird」などのMozilla製品には複数のセキュリティ・ホールが見つかっているとして注意を呼びかけた。細工が施されたWebページやメールなどを開くだけで,悪質なプログラムを勝手に実行される恐れがある。対策は,最新版にアップデートすること。

 セキュリティ・ホールが確認されているのは,アプリケーション・スイート「Mozilla」および「SeaMonkey」,Firefox,Thunderbird。Mozilla製品のコンポーネントを利用している製品,特にレンダリング・エンジン「Gecko」を利用している製品も同様に影響を受ける。

 Mozilla Foundationは4月13日付けで,19種類のセキュリティ・ホールを公表しているが(Mozilla Japanの情報),US-CERTでは以下のセキュリティ・ホールについて,特に注意を呼びかけてる(「VU#XXXXXX」は,US-CERTの「Vulnerability Note」の番号。その下の「MFSA 2006-XX」は,それに対応するMozillaのSecurity Advisoryの番号)。

VU#932734 - Mozilla crypto.generateCRMFRequest() vulnerability
MFSA 2006-24 crypto.generateCRMFRequest を使った特権の拡大

VU#968814 - Mozilla JavaScript security bypass vulnerability
MFSA 2006-28 js_ValueToFunctionObject() のセキュリティチェックが回避可

VU#179014 - Mozilla CSS integer overflow vulnerability
MFSA 2006-22 CSS の letter-spacing に関するヒープオーバーフロー

VU#488774 - Mozilla XBL binding vulnerability
MFSA 2006-16 valueOf.call() を通じた XBL コンパイル範囲へのアクセス

VU#842094 - Mozilla JavaScript cloned parent vulnerability
MFSA 2006-15 JavaScript 関数のクローン親を使った特権の拡大

VU#813230 - Mozilla products vulnerable to privilege escalation via XBL.method.eval
MFSA 2006-14 XBL.method.eval を通じた特権の拡大

VU#736934 - Mozilla products vulnerable to memory corruption via a particular sequence of HTML tags
MFSA 2006-18 Mozilla Firefox のタグの順序に関する脆弱性

VU#935556 - Mozilla products may allow CSS border-rendering code to write past the end of an array
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)

VU#350262 - Mozilla DHTML memory corruption vulnerabilities
MFSA 2006-20 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.2)

VU#252324 - Mozilla display style vulnerability
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)

VU#329500 - Mozilla products vulnerable to memory corruption via large regular expression in JavaScript
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)

 対策は,セキュリティ・ホールを修正した最新版にアップグレードすること。FirefoxとSeamonkeyについては,セキュリティ・ホールを修正したFirefox 1.5.0.2Seamonkey 1.0.1が米国時間4月13日に公開されている(関連記事)。なお,現在公開されているSeamonkey 1.0.1は英語版のみ。セキュリティ・ホールを修正したThunderbirdの最新版Thunderbird 1.5.0.2については,米国時間4月18日に公開される予定である。

◎参考資料
Mozilla Products Contain Multiple Vulnerabilities
Mozilla Foundation セキュリティアドバイザリ
Mozilla 製品における既知の脆弱性

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る