Mozillaは米国時間11月26日、「Firefox」のバージョン2.0.0.10をリリースした。今回の更新は影響力の大きいセキュリティ脆弱性3件に対処するものだ。2件は特定のサイトの訪問時に個人情報を盗むために利用可能なクロスサイトリクエストフォージェリ（CSRF）攻撃に対処するものであり、1件はメモリ破壊に関するものである。　更新はすべての現行Firefoxユーザーに配布されている。新規ユーザーは最新のFirefoxのリリースをダウンロードできる。　CSRFに関する1件目の脆弱性は、window.locationプロパティを設定するタイミングを利用して偽のHTTP Refererヘッダを生成することを可能にするものだ。　Mozillaでは、Refererヘッダは本来スクリプトが実行されたコンテンツのアドレスを反映するはずだが、「代わりに、リファラには、スクリプトが実行されたウィンドウ（またはフレーム）のアドレスが設定されていた。この脆弱性はそのわずかな違いから生じていた」と指摘している。Mozillaではこの脆弱性を実証した人物としてGregory Fleischer氏の名前を挙げている。　CSRFに関する2件目の脆弱性はJAR ZIP形式に関するものである。JAR ZIPはウェブサイトが、Javaアーカイブ形式の署名を含むZIPアーカイブにパッケージされたページをウェブサイトが読み込むことを可能にするものだ。　Mozillaによると、リダイレクトを使うとMozillaのブラウザはJARコンテンツの提供元を正しく解釈できなくなることがBeford.orgのブロガーによって指摘されたという...

ニュースの続きを読む

(引用 livedoorニュース)