編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

Operaが7件の脆弱性にパッチ:うち1件は非公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-08-21 19:17

 Opera Softwareは同社のウェブブラウザの少なくとも7件の明文化されたセキュリティ問題を修正した新バージョンを出荷したが、そのうち1件の脆弱性に関する情報を秘密にしている。この脆弱性は、Chris Weber氏が報告したクロスサイトスクリプティングの問題だ。

 Operaは7件のセキュリティホールのうち1つを「extremely severe」(深刻度最高)と評価している。これは、任意のコードが実行される危険があるためだ。

 Opera 9.52に含まれる修正内容は次のようなものだ。

  • 勧告1(深刻度最高):Operaが任意のプロトコルのハンドラとして登録された場合、外部アプリケーションから起動されることがあり得る。一部のケースでは、この形で起動されるとOperaがクラッシュすることがある。コードのインジェクションを行うには、これに加えて他の技法も必要となる。このバグはWindows用のOperaに影響がある。
  • 勧告2(深刻度高):スクリプトが同じサイトから取得したフレーム内のページのアドレスを変更することができる。Operaがどのフレームを変更可能かをチェックする手順に存在する問題のため、あるサイトが開いたウィンドウ内にあるフレームの、他のサイトのフレームのアドレスを変更することができる。この問題によって、あるサイトが他のサイトのページをオープンし、それらのページに関して誤解を与える情報を表示させることができる。
  • 勧告3(現在は秘密):Casaba SecurityのChris Weber氏が報告したクロスサイトスクリプティングが可能になる問題を修正している。詳細については後日開示される。
  • 勧告4(深刻度中):Operaでは外部アプリケーションの起動にカスタムショートカットやメニューコマンドを利用することができる。一部のケースでは、それらのアプリケーションに渡されるパラメタが適切でなく、かつ初期化されていないメモリから生成される場合がある。これらが追加的なパラメタとして解釈される可能性があり、アプリケーションによっては、これによって任意のコードが実行される可能性もある。この問題を悪用するには、ユーザーにショートカットあるいはメニューファイルを適切な形で修正させ、適切な対象アプリケーションを指定させ、その後適切な時点でそのショートカットを呼び出させる必要がある。コードのインジェクションには、その他の手段を同時に利用する必要がある。このセキュリティホールは、Microsoft Windows、Linux、FreeBSD、Solaris用のOperaに影響がある。
  • 勧告5(深刻度低):安全でないページが、安全なサイトのコンテンツをフレーム内に読み込んだ場合、Operaが安全でないサイトを安全であると誤って表示する場合がある。この場合、錠のアイコンが誤って表示され、セキュリティに関する情報を表示するダイアログでは、この接続が安全であると表示されるが、証明書の情報は表示されない。
  • 勧告6(深刻度低):安全対策として、Operaはウェブページからユーザーのローカルディスクのファイルへのリンクすることを許していない。ところが、ウェブページからユーザーのコンピュータ上のソースファイルへのリンクを行うことを可能にするセキュリティホールが存在する。適切なJavaScriptイベントの検出と、適切な操作を行うことで、信頼性はないものの、スクリプトがそれらのファイルに対する登録が成功したか失敗したかを検知することが可能になり、これによってそのファイルが存在するかどうかを知ることができる場合がある。この試みは多くの場合失敗する。
  • 勧告7(深刻ではない):ユーザーがフィード購読ボタンを使ってニュースフィードを登録する際、ページのアドレスが変更される場合があることが報告されている。これによって、アドレスフィールドが正しく更新されない場合がある。このことによって、アドレスフィールドに誤解を与える情報が表示される可能性があるが、その場合もアドレスバーには攻撃ページのアドレスが表示され、信頼できる第三者のアドレスが表示されるわけではない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]