最新版Firefox（1.0.3）に重大な脆弱性

IEより高機能であることから人気を獲得しつつあるFirefoxは
セキュリティがガチガチに固めているわけではありません。

当時は人気がなく、欠陥が発見されにくなかったのが理由です。

ですが最近急激に人気が出てきたせいか、世界中で狙われるようになり
脆弱性報告がこころなしか増えている気がします。
（マイクロソフト社製品に脆弱性が多いのも”人気があるから”という理由があり、それと似ています。）

今回は履歴リスト内の別のURLをさせることができ、
クッキー盗用によりIDなどを抜き取られる危険性があります。
そして深刻なのは脆弱性のエクスプロイトコード（欠陥の突き方）が出回っていることです。

この問題は危険度5段階中で最も高い「Extremely critical」に位置付けられています。
現時点ではMozilla Foundationからの修正パッチ提供は行われていません。

恐い人はとりあえずJavaScriptを無効化するのが手っ取り早いですが
オプションで「WEBサイトによるソフトウェアのインストールを許可する」をＯＦＦにすれば防げます。
修正バージョンである1.0.4が作成されてリリースされるまでの間しばらく待ちましょう。


▽関連記事
■本家情報：Mozilla Arbitrary Code Execution Security Flaw
■webブラウザ Firefox 1.0.3のinstalltrigger()関数で任意のコードが実行可能な脆弱性が見つかる
■Mozilla Firefox1.0.3に最高レベルの脆弱性
■Firefoxに2件の「非常に重大な」脆弱性が発覚
■Mozillaの最新版にもJavaScriptの脆弱性～Secunia報告
■Firefoxに"かなり危険"なセキュリティホール見つかる
■Firefoxに任意のコードが実行される危険度の高い脆弱性～Secunia報告
■Firefoxに危険なセキュリティ・ホール，最新版1.0.3も影響を受ける
■マイクロソフト、脆弱性の早期警告プログラムをまもなく開始へ
■Firefoxに「極めて重大」な2件の脆弱性

---

---

トラックバックURL：