• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Firefoxなどにセキュリティ・ホール,メモリーの情報を読み取られる

勝村幸博 2005/04/05 ITpro

 デンマークSecuniaなどは現地時間4月4日,Webブラウザ「Mozilla Firefox」やスイート・ソフト「Mozilla Suite」に見つかったセキュリティ・ホールを公表した(参考資料1参考資料2)。細工が施されたWebページにアクセスすると,パソコンのメモリー内の情報を読み取られる可能性がある。いずれについても修正したバージョンは未公開。対策はJavaScriptを無効にすることなど。

 今回のセキュリティ・ホールは,それぞれの最新版Firefox 1.0.2およびMozilla 1.7.6で確認されている。Secuniaによれば,以前のバージョンも影響を受けるとしている。

 セキュリティ・ホールは,FirefoxおよびMozillaに含まれるJavaScriptエンジンに存在する。JavaScriptのある関数を呼び出すようなWebページにアクセスすると,メモリー内の情報を読み取られる恐れがある。

 Secuniaではデモ・ページを用意。写真は,Firefox 1.0.2でデモ・ページにアクセスした結果である(拡大表示)。同ページにアクセスして,指定のリンクをクリックすると,メモリー内の情報がページ上に表示される。

 現時点では,このセキュリティ・ホールを修正したバージョンは公開されていない。このため,JavaScriptを無効にすることが対策となる。「ツール」メニューの「オプション」から「Web機能」を選択すれば,「JavaScriptを有効にする」のチェック・ボックスが表示される。このチェックを外せば,JavaScriptは無効になる(デフォルトは有効)。

 また,信頼できないページを閲覧しないことも重要。これは,セキュリティのセオリー。Firefox/Mozillaを使っていなくても守る必要がある。

◎参考資料
Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
Mozilla Suite JavaScript Engine Information Disclosure Vulnerability
Mozilla Products Arbitrary Memory Exposure Test
Bugzilla Bug 288688 JS "lambda" replace exposes malloc heap space after end of JS string

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    トヨタの知育ゲーム「モビルモ」にマニュアルがない理由

     トヨタ自動車とチームラボが共同開発したスマートフォン/タブレット向けの知育ゲーム「Mobilmo(モビルモ)」。車輪やエンジンといったパーツを組み合わせて乗り物を作り、架空の惑星を探検するシミュレーションゲームだ。牧歌的な見た目とは裏腹に、あえて不親切さを残している。その真意を探った。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る