★阿修羅♪ > IT9 > 307.html
 ★阿修羅♪
FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も
http://www.asyura2.com/0601/it09/msg/307.html
投稿者 サトミ 日時 2006 年 10 月 02 日 18:00:16: EefTlKX6arZoM
 

FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も
http://japan.cnet.com/news/sec/story/0,2000056024,20256207,00.htm

サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。

 Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。

 普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コードについて概説したスライドを見せながら、説明を加えた。

 この脆弱性はFirefoxのJavaScript実装によるものだ。JavaScriptは10年前に作られたスクリプト言語で、ウェブで広く用いられている。しかし、Spiegelmock氏によると、プログラムに仕掛けをしてスタックオーバーフローを起こすのにとりわけ使えるという。同氏によると、FirefoxのJavaScript実装は「まったく無秩序」で「パッチを当てることは不可能」だという。

 MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、JavaScript関連の脆弱性は事実であるようだと述べ「彼らが説明しているのは、古い攻撃の亜種かもしれない。調査を開始する」とした。

 同氏は、プレゼンテーションで脆弱性の悪用方法が紹介されたことに不快感を示し「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。これはユーザを危険にさらす行為であり、不幸なことだと思うが、脆弱性の情報を広めることが彼らの目的であるようだ」と述べた。

 同氏は、Mozillaの側でも、脆弱性を修正するのに十分なデータをプレゼンテーションで得ただろうとしつつ、ブラウザでJavaScriptを扱う部分に脆弱性の可能性があるようなので、平均的なパッチに比べて解決が困難かもしれないと付け加えた。同氏は「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と述べた。

 ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。

 次へ  前へ

  拍手はせず、拍手一覧を見る

▲このページのTOPへ HOME > IT9掲示板


  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。