• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Firefoxなどにセキュリティ・ホール,メモリーの情報を読み取られる

勝村幸博 2005/04/05 ITpro

 デンマークSecuniaなどは現地時間4月4日,Webブラウザ「Mozilla Firefox」やスイート・ソフト「Mozilla Suite」に見つかったセキュリティ・ホールを公表した(参考資料1参考資料2)。細工が施されたWebページにアクセスすると,パソコンのメモリー内の情報を読み取られる可能性がある。いずれについても修正したバージョンは未公開。対策はJavaScriptを無効にすることなど。

 今回のセキュリティ・ホールは,それぞれの最新版Firefox 1.0.2およびMozilla 1.7.6で確認されている。Secuniaによれば,以前のバージョンも影響を受けるとしている。

 セキュリティ・ホールは,FirefoxおよびMozillaに含まれるJavaScriptエンジンに存在する。JavaScriptのある関数を呼び出すようなWebページにアクセスすると,メモリー内の情報を読み取られる恐れがある。

 Secuniaではデモ・ページを用意。写真は,Firefox 1.0.2でデモ・ページにアクセスした結果である(拡大表示)。同ページにアクセスして,指定のリンクをクリックすると,メモリー内の情報がページ上に表示される。

 現時点では,このセキュリティ・ホールを修正したバージョンは公開されていない。このため,JavaScriptを無効にすることが対策となる。「ツール」メニューの「オプション」から「Web機能」を選択すれば,「JavaScriptを有効にする」のチェック・ボックスが表示される。このチェックを外せば,JavaScriptは無効になる(デフォルトは有効)。

 また,信頼できないページを閲覧しないことも重要。これは,セキュリティのセオリー。Firefox/Mozillaを使っていなくても守る必要がある。

◎参考資料
Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
Mozilla Suite JavaScript Engine Information Disclosure Vulnerability
Mozilla Products Arbitrary Memory Exposure Test
Bugzilla Bug 288688 JS "lambda" replace exposes malloc heap space after end of JS string

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る