「Firefox 2」に新たなサービス拒否脆弱性

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年11月02日 10時53分

 新しくリリースされた「Firefox 2」ブラウザに、クラッシュを引き起こす可能性のある2つ目のセキュリティ脆弱性が存在していることが公になった。

 同脆弱性は、オープンソースブラウザであるFirefox 2が、JavaScriptコードを処理する方法に関係している。Firefoxを提供しているMozillaの関係者は、米国時間11月1日、脆弱性の悪用されたウェブページを閲覧することでブラウザが強制終了してしまうと説明した。もっとも、セキュリティメーリングリストなどで指摘されている内容とは逆に、このバグが、Firefox 2が稼働するPC上で任意のコードを実行するのに悪用されることはないと、同関係者は述べている。

 今回の脆弱性は、「JavaScript Range」と呼ばれるオブジェクトに存在し、Mozillaが先週その存在を認めたFirefox 2のサービス拒否(Denial of Service:DoS)脆弱性とは異なる。Firefoxの過去のバージョンで修正されている、より深刻な脆弱性と関係しているとMozillaは話した。

 Firefox 2のリリースからおよそ1週間を経たが、一般に公開され、なおかつMozillaが確認した脆弱性は、これら2件のみである。Mozillaは、いずれも軽微な問題だとしている。

 一方、Microsoftの新ブラウザ「Internet Explorer 7」は、米国時間10月18日のリリース後わずか1週間で、なりすましの原因となり得る脆弱性を含んでいることが明らかになった。この脆弱性は、フィッシング詐欺を隠ぺいするため、犯罪者に悪用されるおそれがある。Microsoftは、フィッシング詐欺に対抗できるブラウザとして、IE 7をデザインしていた。

 セキュリティ監視企業Secuniaによると、IE 7には、少なくともこのほか2件の脆弱性が存在しているという。Microsoftはこの件については反論し、報じられた問題の1つはIE 7ではなく「Outlook Express」に関するものであること、さらに他方の問題は製品仕様の一端であって脆弱性ではないことを強調している。

 人気の高いウェブブラウザの新版が相次いでリリースされたことにより、バグハンターたちは、どちらかのプログラムで最初のセキュリティホールを見つけてやろうと躍起になった。現時点では、そうして発見された脆弱性が、同ブラウザが稼働しているPCの乗っ取りに悪用されたケースは見られていない。こうした攻撃を招く脆弱性は、最も危険性の高いものと考えられている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]