Mozilla 1.6以前と Netscape に SOAP 関連処理の脆弱性(すでに修正済み)

2004年8月4日(水) 23時46分 by level
B ?

Mozilla 1.6 以前と、Netscape に SOAP に関する処理にかなり危ない脆弱性があったそうです。Mozilla 1.7.x や Firefox 0.9.x は大丈夫のようです。

これは、Mozilla における既知の脆弱性の67番 SOAPParameter オーバーフロー(bug 236618)ですね。

巨大な JavaScript 配列を SOAPParameter コンストラクタに渡すことで生じる整数オーバーフローによって、ヒープの上書きをコントロールされ、攻撃者が選択した任意のコード実行に悪用される可能性があります。
回避策: JavaScript を無効にする

Mozilla 1.7 で修正された脆弱性に関しては、これ以外にも重要度/リスクが高/高なもの二つを含めて14個もあるので、今更記事にするほどのこともないように思えますが。

コメント (3)

1 8/05 00:30 Henrich
(c1) [2004/08/05 00:30:44] by Henrich

Mozilla ~ の部分を windows に置き換えてみたらどうでしょうか。セキュリティの話は(針小棒大にする必要はありませんが)大きく取り上げる価値があると思います。

それに「Mozilla関連の出来事がニュースとして取り扱う価値がある」とみなされているのですから、喜んだほうがいいと私は思いますよ。

2 8/05 10:22 level
(c2) [2004/08/05 10:22:17] by level

たしかにニュースとして取り上げられるということにも価値ありますね。古いバージョンを使用している人(特にNetscape)に対する
警告にもなりますし。

ただ、あまりこういうニュースが頻発するのも
悪いイメージが広がらないかと心配してしまいます。

今回のケースはもともとiDEDENSEが発見し、秘密裏に修正された
脆弱性を8月になってからiDEDENSEが正式に公開し、それにニュース
サイトが反応したというのが実情のようです。

3 8/06 14:16 Henrich
(c3) [2004/08/06 14:16:55] by Henrich

脆弱性があったこと自体は事実なのですから仕方がありません。


ただ、より正確な経緯と状態と事実を淡々と述べていくことによって、恣意的に作られた「悪いイメージ」に対する防御はできると思います。そして、それこそが必要なことだと思います。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。