2004年08月03日(火) 23時34分
Mozilla 1.6以前とNetscapeに脆弱性(ITmediaエンタープライズ)
AOLの「Netscape」と、オープンソースのWebブラウザ「Mozilla」に、整数オーバーフローの脆弱性が存在することが明らかになった。
この脆弱性は、SOAPメッセージを処理するSOAPParameter オブジェクト コンストラクタに起因する。JavaScriptなどで細工を施したWebページを読み込ませることによって、攻撃者がリモートから任意のコードを実行することも可能という、危険性の高い問題だ。
問題を指摘したiDEFENSEによると、脆弱性が確認されたのはNetscape 7.1以前とMozilla 1.6。それ以前のバージョンにも同様の脆弱性が存在する可能性がある。
Mozillaの最新バージョンであるMozilla 1.7.1では、この問題は修正されているという。iDEFENSEではこのバージョンにアップグレードするか、それが無理ならばNetscape上でJavaScriptを無効にするよう推奨している。
iDEFENSEのアドバイザリを見る限り、同社は、Netscapeにはこれ以上のバージョンアップはあり得ないと判断している模様だ。だがNetscapeについては、近い時期に新バージョンのリリースが噂されている。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ)
http://headlines.yahoo.co.jp/hl?a=20040803-00000024-zdn_ep-sci