星を見る人

Firefoxに「フレーム内コンテンツ偽装」の脆弱性

Firefox
6月6日にMozilla/Firefoxに脆弱性があることが発見されました。

フレームを使っている任意のWebコンテンツ中に,別サイトの任意のコンテンツを表示させることができてしまうというものです。これは過去にFirefox 0.9およびMozilla 1.7で修正されましたが、最近のバージョンでこの脆弱性が復活してきたとのこと。

脆弱性の内容は「あるサイトを開いているウィンドウのフレーム内に、別ウィンドウで表示している他のサイトからページを注入できる」というもの。これを悪用すれば例えば悪意ある偽サイトを本物のサイトに流しこむことが可能となります。前に出たものなので当然NetscapeやOperaは影響を受けません。

■Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/15601/←を翻訳

Netscape 8にまた問題が発生?

Netscape社が精力を注いでWebブラウザ「Netscape 8」をリリースしたものの
脆弱性が発見された問題については早急に修復されたのですが、

今度はマイクロソフトが「Netscape 8はIEのXMLレンダリング機能を壊す。
解決方法はNetscape 8をアンインストールすることだ
。」と呼びかけています。

Netscape 8をインストールすると、IEがXMLファイルをブランクページとして表示、
つまり真っ白な画面になってしまうとのこと。

Microsoft社は「現在調査を進めており,Netscape社と問題解決に向けて協力したい」としています。

▽関連記事
「Netscape 8でIEのXMLレンダリングが異常になる」,米Microsoftがアンインストールを呼びかけ
マイクロソフト:「IEユーザーは、Netscape 8を削除して」
Netscape 8の導入でIEに不具合
Netscape 8をインストールするとIEのXML機能に異常を来たす不具合

公開されたばかりの「Netscape 8」に「Firefox 1.0.3」と同じ脆弱性

Netscape 8
つい先日Netscape 8 正式版が発表されました。
Netscape 8は、Firefoxをベースに開発された
タブ切り替え型ブラウザですが、この最新版は
脆弱性が存在するFirefox1.0.3をベースに作られているので
Netscape 8にも同じ脆弱性が発見されました。
問題を修正するためのアップデートパッチが用意され
Netscapeのバージョンは現在8.0.1になっています。


二つ下のsciatore氏の記事と被りますが気にしないでください。

Netscape 8.0.1ダウンロードページ


▽関連記事
発表直後の「 Netscape8」に脆弱性--ネットスケープがアップデートを公開
『 Netscape8』に早くもセキュリティ更新版登場
Netscape8公開直後に脆弱性修正のアップデート

Netscape 8 正式版公開

Firefox(Geckoエンジン)とIE(IEエンジン)の表示切替ができるネスケの新バージョンが正式に公開されました。
出してすぐにバージョンアップされていますので、もし出たそのときにダウンロードした方がいるのなら、すぐにバージョンアップさせましょう!

Netscape8はFirefox1.03を元につくったのですが、ご存知Firefox1.03には脆弱性があったがためにNetscapeも修正したとのことです。
Netscape8.01が現在(記事投稿時)の最新版です。
日本語版はありません。


▽Netscape
The All New Netscape Browser 8.0

▽関連記事
FirefoxとIEのエンジン使い分ける「Netscape 8.0」リリース
Netscape 8公開直後に脆弱性修正のアップデート
サイトごとにセキュリティ設定とWebエンジンを自動切り替え「Netscape」v8
フィッシング/ウイルス対策強化した「Netscape 8.0」正式版公開
米Netscapeが「Netscape 8.0」正式版を公開,フィッシング/ウイルス対策を強化
Firefoxベースの「Netscape 8」正式版、“Netscape10周年記念”の公開
Netscape 8 リリース

Firefoxのビデオ広告が登場

Firefoxを見て驚く男性
米国時間12日にFirefoxのビデオ広告キャンペーンが開始。
内容はFirefoxの凄さに男性がビックリする様子などが
Funnyfox.orgで3作品を閲覧することができます。


Mozilla Europe会長Tristan Nitot氏によると
面白おかしいものにすることで、Firefoxに関心を持ってもらうのが狙いだ」とのとで
このキャンペーンがスタートから1週間も経たずに50万ヒットを達成したそうです。

▽関連記事
magic3.net内:FirefoxのイメージCM
Firefoxのビデオ広告キャンペーン、1週間で1日50万ヒットを記録
欧州のMozilla普及促進団体Mozilla Europeの共同設立者,フルタイムで活動に従事

Firefox 1.0.4 日本語版がリリース

Firefox1.0.4
Firefox 1.0.3に重大な脆弱性が見つかった件ですが
既に修復され、1.0.4の日本語版が今日リリースされました。

オープンソース(プログラムの設計図が世界中で公開)のせいか
マイクロソフトと比べると素早い対応です。

1.0.4 日本語版はMozilla Japanから入手することができます。

今回のバージョンアップ内容は以下の点が修復されています。
・非 DOM プロパティの上書きを通じた特権の拡大
・“内包された”「javascript:」形式の URLによってセキュリティチェックがバイパスされる
・「javascript:」形式の iconURL を通じたコードの実行

▽関連記事
「Firefox 1.0.4」日本語版も公開、JavaScript関連の深刻な脆弱性を修正
Firefox 1.0.4が登場--2件の脆弱性を修正するセキュリティアップデート
Firefoxのビデオ広告キャンペーン、1週間で1日50万ヒットを記録
いつまでセキュリティ問題から逃げていられるか?
米Mozilla Foundation,セキュリティ・ホールを修正した「Firefox 1.0.4」「Mozilla 1.7.8」を公開

最新版Firefox(1.0.3)に重大な脆弱性

Firefox
IEより高機能であることから人気を獲得しつつあるFirefoxは
セキュリティがガチガチに固めているわけではありません。

当時は人気がなく、欠陥が発見されにくなかったのが理由です。

ですが最近急激に人気が出てきたせいか、世界中で狙われるようになり
脆弱性報告がこころなしか増えている気がします。
(マイクロソフト社製品に脆弱性が多いのも”人気があるから”という理由があり、それと似ています。)

今回は履歴リスト内の別のURLをさせることができ、
クッキー盗用によりIDなどを抜き取られる危険性があります。
そして深刻なのは脆弱性のエクスプロイトコード(欠陥の突き方)が出回っていることです。

この問題は危険度5段階中で最も高い「Extremely critical」に位置付けられています。
現時点ではMozilla Foundationからの修正パッチ提供は行われていません。

恐い人はとりあえずJavaScriptを無効化するのが手っ取り早いですが
オプションで「WEBサイトによるソフトウェアのインストールを許可する」をOFFにすれば防げます。
修正バージョンである1.0.4が作成されてリリースされるまでの間しばらく待ちましょう。


▽関連記事
本家情報:Mozilla Arbitrary Code Execution Security Flaw
webブラウザ Firefox 1.0.3のinstalltrigger()関数で任意のコードが実行可能な脆弱性が見つかる
Mozilla Firefox1.0.3に最高レベルの脆弱性
Firefoxに2件の「非常に重大な」脆弱性が発覚
Mozillaの最新版にもJavaScriptの脆弱性~Secunia報告
Firefoxに"かなり危険"なセキュリティホール見つかる
Firefoxに任意のコードが実行される危険度の高い脆弱性~Secunia報告
Firefoxに危険なセキュリティ・ホール,最新版1.0.3も影響を受ける
マイクロソフト、脆弱性の早期警告プログラムをまもなく開始へ
Firefoxに「極めて重大」な2件の脆弱性

FirefoxにJavascriptエンジンの脆弱性

Firefox
Firefox、Mozillaの最新版にJavaScriptの脆弱性

このJavaScriptエンジンの脆弱性は
Firefoxのバージョンが1.0.1や1.0.2でも通用するそうです。
早急に対策版がリリースされると思いますが
今の所はJavaScriptをOFFにすることが有効です。
(Javascriptを切るとWeb上のコンテンツがうまく見られなくなる可能性もありますが)

■ 関連記事
グーグル、MozillaとFirefoxに向けにページ先読み機能を提供
Firefoxの脆弱性報告に賞金授与

Firefox、脆弱性修正の日本語版アップデートを公開

Firefox日本語版公式ページからダウンロード、
あるいはオプション⇒詳細⇒今すぐ確認 でアップデートすることが出来る。

このバージョンでは深刻度「重大」、危険度「高」のGIFヒープオーバーフロー問題など
3つの脆弱性が修正されている。

Firefoxユーザーには今すぐバージョン1.02にアップデートすることを強く推奨する。

関連記事:ITmedia:Firefox、脆弱性修正のアップデート公開
関連記事:Mozilla Foundation、Firefox のセキュリティアップデートを発表

FirefoxのイメージCM

Firefox-CM
うちでも度々取り上げている高性能ブラウザ「Firefox」
イメージして作られたコマーシャルムービーです。

Firefoxもメジャーになりつつあるようですが
タブブラウザ化するであろうIE7の登場
開発者がGoogleに流れていったり
脆弱性がしばしば見つかったりと、さらには他の使いやすいブラウザを
愛用しているという人も多いようです。もしやFirefoxの全盛期は当に過ぎているのでしょうか。

元は.movだったのですがwmv(304kbps/s)に変換したところ、ファイルサイズが
2.39 MB → 0.9 MBにまで縮んだので直接載せておきます。全文を読むと再生されます。
[続きを読む]

IE 7の機能が一部公開

マイクロソフトがInternet Explorer 7(IE7)を開発中(詳細)です。

IEをベースにしているDonutSleipnirLunascapeなど
既存の使いやすいブラウザと同等以上の機能がないと苦しいかと思われますが
IE7はタブブラウザ化しRSSリーダーやスタイルシート(CSS)のサポート機能を
実装するべくマイクロソフトは専念しているそうです。
シェアが高いにも関わらず低性能と認識されてしまった現状を打開できるのでしょうか。

いつものマイクロソフトの動向からして、IE7をリリースしても
すぐに欠陥が(たくさん)見つかるものだと思い浮かべてしまいます。
IE6がリリースされて随分経つのでIE7は利便性と機能面の両方が
しっかりしたブラウザになっているのでしょうか。
Firefoxを超えずともせめてセキュリティの穴埋めは十分に行ってから
リリースして欲しいと思います。

■ 関連記事
IE7の詳細の一部が明らかに--タブブラウザやRSSリーダーなどの機能を搭載か
ダークホース IE7の予想される姿
IE7 ベータ版を今夏リリース、MSが日本でも発表

Firefox1.0.1

Firefoxの脆弱性修正バージョンが出ました。

コチラ参照

セキュアなブラウザとして注目のあるFirefoxです。
さらにセキュアになったので、是非バージョンアップをさせるべきです。

Netscape 8.0 β

満を持してNetscapeの新型であるThe Netscape Browser 8.0 のテスター向けのβ版プレリリースが始まりました。

[続きを読む]

Firefoxの勢いが低下

Firefox ロゴ
ブラウザ市場はマイクロソフトのInternet Explorerが
未だダントツですがFirefoxが2500万ダウンロード到達など
徐々にFirefoxもシェアを拡大してきています。

Mozilla Firefoxはβ版の時に多くの期待が集まりシェアが加速しましたが
資料翻訳)によると02/18段階、米国のWindows機での使用率は
InternetExplorer:92.2%、Mozilla Firefox:5.47%
[続きを読む]

FirefoxとMozillaに脆弱性 修正済のFirefox1.0.1日本版はもうすぐ

Firefoxのロゴ
FirefoxとMozillaに脆弱性が17件発見され
既に対応されていますが1.0.1の日本語版リリースは
現時点ではまだ来ていません。
[続きを読む]