Opera 9でデモ・ページにアクセスした結果。Operaが不正終了させられる
[画像のクリックで拡大表示]
フランスFrSIRTなどは7月26日,Webブラウザ「Opera」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスすると,Operaを不正終了させられたり,任意のプログラムを実行されたりする恐れがあるという。実際,発見者により,Operaを不正終了させるデモ・ページが公開されている。修正版などは公開されていないので,信頼できないサイトへアクセスしないことが対策となる。
今回のセキュリティ・ホールは,DHTML要素の処理に関するもの。DHTML要素のバックグラウンド属性に非常に長いURLを設定すると,メモリー破壊が発生する。その結果,Operaが不正終了する。任意のプログラムを実行される可能性もあるという。
今回のセキュリティ・ホールを発見したのは,セキュリティ・ツール「Metasploit Framework」の開発者であるHD Moore氏。同氏は,Webブラウザのセキュリティ・ホールを7月中毎日公表することを宣言しており,今回の公表されたセキュリティ・ホールはそのうちの一つ(関連記事:「ブラウザのセキュリティ・ホールを毎日1件公開する」と研究者が宣言)。
Moore氏は,セキュリティ・ホールの存在を示すためのデモ・ページを用意。同ページにOperaにアクセスすると,Operaは不正終了させられる。すべてのパッチを適用したWindows XP SP2上の最新版Opera 9も影響を受けることが確認されている。
セキュリティ・ホールを修正したバージョンやパッチなどは未公表。このため,信頼できないサイトへアクセスしないことが回避策となる。
