米Sun Microsystemsは米国時間11月30日,Webブラウザ「Netscape 7.x」のセキュリティ・ホールを公表した。Netscape 7.xでは,PNG(Portable Network Graphics)画像の処理に,セキュリティ・ホールが存在する「libpng」を使用している(関連記事)。このため,細工が施されたPNG画像を読む込むと,任意のプログラムを実行させられたり,Netscapeが落ちたりする。パッチや修正バージョンは未公開。
Sunでは,同社OS「Solaris 7/8/9」で動作するNetscape 7.xにセキュリティ・ホールがあるとしている。だが,他のベンダーやユーザーが発見したセキュリティ・ホールを検証して公表しているデンマークSecunia*のアドバイザリには,特にOSに関する記述はない。このため,Solaris版以外にも今回のセキュリティ・ホールが存在すると考えられる。
*Secunia自身がセキュリティ・ホールを見つける場合もある。
このセキュリティ・ホールに関するパッチや修正バージョンは未公開。このため,Sunでは「回避策なし(There is no workaround for this issue)」としている。Secuniaでは,対策(Solution)として「別の製品を使う(Use another product)」ことを挙げている。
Netscapeを使い続ける場合には,「信頼できないWebページは閲覧しない」「信頼できないHTMLメールは開かない(プレビューしない)」――といった“心がけ”で回避する必要がある。もちろんこれらは,Netscapeに限らず,いずれのブラウザ/メール・ソフトを使う上でも,セキュリティ上有用な“心がけ”である。
◎参考資料
◆Security Vulnerability in Netscape 7 With PNG Files(米Sun Microsystems)
◆Netscape PNG Image Handling Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)
