January 06, 2005

 ブラウザの脆弱性報告、相次ぐ

IE、MozillaおよびFirefoxについての脆弱性の報告が相次いでいます。

■ Internet Explorer

IEを使って、FTPサーバから細工の施された悪意のあるファイルをダウンロードすると、任意の位置にファイルを作成されてしまうというもの。ウイルスやワームなどをお使いの環境に忍び込まされる可能性があります。

なお、この問題が発生するのはWindows2000、とSP2をインストールしていないWindowsXPです。XPをお使いの方は、SP2のインストールを、それ以外の方はFTPを利用する際は別のクライアントを用いる方が良いと思います。

■ Mozilla、Firefox

1つ目はMozilla 1.7.x、Firefox1.0での問題。ファイルのダウンロード時に表示されるダイアログで、URLが先頭からの一部のみが表示されるために、ダウンロード先を偽装できというもの。これに関してはパッチなどは発表されていません。

2つ目はMozillaだけの問題。「MSG_UnEscapeSearchUrl」という関数が、バッファオーバーフローを起こすというもの。これを悪用して、ブラウザ利用者の環境で任意のコードを実行されてしまう危険性があります。これに関しては、Mozilla 1.7.5で修正されているとのことですので、アップデートを行うことをお勧めします。

投稿者 bitterbit : January 6, 2005 08:03 PM