Operaが7件の脆弱性にパッチ:うち1件は非公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-08-21 19:17

 Opera Softwareは同社のウェブブラウザの少なくとも7件の明文化されたセキュリティ問題を修正した新バージョンを出荷したが、そのうち1件の脆弱性に関する情報を秘密にしている。この脆弱性は、Chris Weber氏が報告したクロスサイトスクリプティングの問題だ。

 Operaは7件のセキュリティホールのうち1つを「extremely severe」(深刻度最高)と評価している。これは、任意のコードが実行される危険があるためだ。

 Opera 9.52に含まれる修正内容は次のようなものだ。

  • 勧告1(深刻度最高):Operaが任意のプロトコルのハンドラとして登録された場合、外部アプリケーションから起動されることがあり得る。一部のケースでは、この形で起動されるとOperaがクラッシュすることがある。コードのインジェクションを行うには、これに加えて他の技法も必要となる。このバグはWindows用のOperaに影響がある。
  • 勧告2(深刻度高):スクリプトが同じサイトから取得したフレーム内のページのアドレスを変更することができる。Operaがどのフレームを変更可能かをチェックする手順に存在する問題のため、あるサイトが開いたウィンドウ内にあるフレームの、他のサイトのフレームのアドレスを変更することができる。この問題によって、あるサイトが他のサイトのページをオープンし、それらのページに関して誤解を与える情報を表示させることができる。
  • 勧告3(現在は秘密):Casaba SecurityのChris Weber氏が報告したクロスサイトスクリプティングが可能になる問題を修正している。詳細については後日開示される。
  • 勧告4(深刻度中):Operaでは外部アプリケーションの起動にカスタムショートカットやメニューコマンドを利用することができる。一部のケースでは、それらのアプリケーションに渡されるパラメタが適切でなく、かつ初期化されていないメモリから生成される場合がある。これらが追加的なパラメタとして解釈される可能性があり、アプリケーションによっては、これによって任意のコードが実行される可能性もある。この問題を悪用するには、ユーザーにショートカットあるいはメニューファイルを適切な形で修正させ、適切な対象アプリケーションを指定させ、その後適切な時点でそのショートカットを呼び出させる必要がある。コードのインジェクションには、その他の手段を同時に利用する必要がある。このセキュリティホールは、Microsoft Windows、Linux、FreeBSD、Solaris用のOperaに影響がある。
  • 勧告5(深刻度低):安全でないページが、安全なサイトのコンテンツをフレーム内に読み込んだ場合、Operaが安全でないサイトを安全であると誤って表示する場合がある。この場合、錠のアイコンが誤って表示され、セキュリティに関する情報を表示するダイアログでは、この接続が安全であると表示されるが、証明書の情報は表示されない。
  • 勧告6(深刻度低):安全対策として、Operaはウェブページからユーザーのローカルディスクのファイルへのリンクすることを許していない。ところが、ウェブページからユーザーのコンピュータ上のソースファイルへのリンクを行うことを可能にするセキュリティホールが存在する。適切なJavaScriptイベントの検出と、適切な操作を行うことで、信頼性はないものの、スクリプトがそれらのファイルに対する登録が成功したか失敗したかを検知することが可能になり、これによってそのファイルが存在するかどうかを知ることができる場合がある。この試みは多くの場合失敗する。
  • 勧告7(深刻ではない):ユーザーがフィード購読ボタンを使ってニュースフィードを登録する際、ページのアドレスが変更される場合があることが報告されている。これによって、アドレスフィールドが正しく更新されない場合がある。このことによって、アドレスフィールドに誤解を与える情報が表示される可能性があるが、その場合もアドレスバーには攻撃ページのアドレスが表示され、信頼できる第三者のアドレスが表示されるわけではない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  3. セキュリティ

    経営陣に伝わりづらい「EDR」の必要性、従来型EDRの運用課題を解決するヒントを解説

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. ビジネスアプリケーション

    中小企業のDX奮闘記--都市伝説に騙されずに業務改善を実現したAI活用成功譚

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]