Mozillaは18日、Webブラウザ「Firefox」の最新版となるFirefox 2.0.0.7を公開した。今回のリリースでは、Windows上でQuickTimeを通じて任意のコマンドが実行される脆弱性を修正しており、 Mozillaではユーザーに対してアップデートを推奨している。
Firefox 2.0.0.7では、QuickTimeのメディアリンクファイルを悪用することで、任意のコマンドラインオプション付きで規定のWebブラウザが起動さ れる脆弱性を修正した。この脆弱性は既に検証コードが公開されており、ユーザーが悪意のあるWebページを開いただけで任意のコードを実行させられる危険 がある。
Mozillaでは、Internet Explorerを通じた同様の脆弱性に対して、Firefox 2.0.0.5で修正を行なっていたが、QuickTimeはその修正を回避する方法でブラウザを呼び出すことが判明したとして、この問題に対処した。ま た、QuickTime側でこの問題が修正されるまでは、ポップアップウィンドウとダイアログを表示させ、ユーザーをイライラさせる目的でメディアリンク ファイルが利用される可能性は残されているとしている。
0 件のコメント:
コメントを投稿