2005年01月08日(土) 02時20分

MozillaとFirefoxに脆弱性見つかる - ダウンロードファイルの偽装を許す（MYCOM PC WEB）

デンマークのセキュリティベンダーSecuniaは、Webブラウザ「Mozilla」と「Firefox」に潜む脆弱性を明らかにした。報告によれば、ダウンロードダイアログボックスに表示可能なURLの字数が限られるというMozilla/Firefoxの仕様を悪用すると、サブドメインを長くするなどの方法により、実際のダウンロード先が異なるファイルに偽装できるという。Mozilla/Firefoxの不具合を報告・検証するために使用されているサイト「Bugzilla」( https://bugzilla.mozilla.org/show_bug.cgi?id=275417 では、LinuxとWindowsを対象に、偽装を行ったリンクのサンプルを紹介している。

脆弱性はMozilla 1.7.5とFirefox 1.0で確認され、深刻さの度合いは5段階中下から2番目の「Less critical」。修正版やパッチが提供されていない現状では、信頼できないサイトにおいてリンクのクリックによるファイルのダウンロードを避け、URL部分をコピー&ペーストするなどして偽装の有無を確認することが有効な対策となる。

現時点においてMozillaプロジェクトから正式なコメントは発表されていないが、Secuniaの報告によれば、次バージョンのMozilla/Firefoxで今回のセキュリティホールは修正されるとのこと。

(海上忍)

Firefox 1.0正式版、ついにリリース
http://pcweb.mycom.co.jp/news/2004/11/09/011.html

夏は虫取りで稼ぐ - Mozillaのバグを報告すると賞金がもらえるかも!?
http://pcweb.mycom.co.jp/news/2004/08/03/010.html

Mozilla Foundation
http://www.mozilla.org/

Secunia
http://secunia.com/

http://headlines.yahoo.co.jp/hl?a=20050108-00000094-myc-sci