編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

「IE」と「Firefox」に脆弱性--研究者が指摘

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2007-02-19 10:20

 MicrosoftとMozillaが、先ごろ明らかになった「Internet Explorer」および「Firefox」ウェブブラウザの脆弱性への対応をそれぞれに進めている。

 これらの脆弱性は、研究者のMichal Zalewski氏が先週、セキュリティ関連メーリングリストへの投稿で明らかにした。いずれのブラウザでも、悪意を持つ者が悪質なウェブサイト経由でデータを入手できてしまう可能性があると、Zalewski氏は語っている。

 さらに同氏によると、Firefoxにはもう1つ脆弱性があり、ユーザーのPC上にあるクッキーファイルが変更されてしまうかもしれないという。

 Internet Explorerの場合、この問題は最新バージョンのIE 7に影響があり、これ以前の各バージョンも影響を受ける可能性がある、とZalewski氏は書いている。Microsoftは、この脆弱性により、PCのハードディスク上にあるファイルが攻撃者に対して無防備になる場合があることを正式に認めた。ただし、それは所定のファイルの場所が判明済みの場合に限られるという。

 Microsoftの関係者は米国時間2月16日に電子メールで声明を出し、「攻撃を成功させるためには、ユーザーをだまし、ソーシャルエンジニアリングを駆使して、あらかじめファイルの置き場所を攻撃者のウェブページに入力させておく必要がある」と述べている。Microsoftではまだこの問題を調査中で、これから「適切な対策を講じていく」と関係者は語っている。

Firefoxの脆弱性

 Firefoxには2つのセキュリティホールがあり、いずれもZalewski氏が明らかにしている。そのうちの1つはInternet Explorerの問題と同様のものだが、もう1つは、悪意のある者が脆弱なブラウザが動作するPC上に保存されたクッキーファイルを変更できるようにしてしまう。クッキーはウェブサイトがPC上に保管する小さいファイルで、ログイン情報やサイトの初期設定などを記憶している。

 Zalewski氏は14日、このクッキーの問題についてFull Disclosureのメーリングリストに投稿し、「影響はかなり深刻だ」と書いている。同氏の投稿によると、クッキーが悪質なウェブサイトによって変更されてしまう可能性があるため、攻撃者がほかのサイトの表示や動作を変更できるようになるという。

 Mozillaサイトのバグ情報によると、Mozillaが管理しているFirefoxの開発者は、この脆弱性に対処するパッチを既に用意しているという。ただし、このパッチは同ブラウザのユーザーにはまだ公開されていない。同サイトへの書き込みによると、Mozillaでは多数の修正を施したアップデート版をリリースするのが一般的で、次のパッチリリースはまもなくだという。Zalewski氏によると、これらのバグは同オープンソースブラウザの最新バージョンに影響があるという。

 Zalewski氏は16日、電子メールでインタビューに答え、「修正はすぐに準備されており、内容も大丈夫なようだ」と書いている。情報を開示してしまうバグは、2週間前にもほかに2件がFirefoxから見つかっている。

 一方、賢明なインターネットユーザーは訪問先のウェブサイトに注意すべきだ。Firefoxユーザーであれば、ウェブサイト上でスクリプトコードの実行を防ぐ「NoScript」アドオンをインストールする選択肢もある。これは、情報開示バグを実証するZalewski氏のエクスプロイトコードをブロックするほか、ほかの多くの攻撃も阻止してくれる。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    なぜ、2021年にすべてのマーケターが「行動経済学」を学ばねばならないのか?

  2. セキュリティ

    SIEMとEDRが担うべき正しい役割とは?企業のセキュリティ部門が認識しておくべき適切なツールの条件

  3. クラウドコンピューティング

    デザインシンキングによるAIと課題のマッチング!現場視点による真のデジタル改善実現へ

  4. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

  5. 仮想化

    Microsoft 365を利用する企業が見逃す広大なホワイトスペースとは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]