Mozilla に関するセキュリティ情報
このページは、Mozilla に関するセキュリティ上の問題(以下セキュリティホール)、およびシステムに重大な影響を及ぼすと思われる問題点を、「もじら組」で独自に纏め上げたものです。 mozilla.org におけるセキュリティ関連の情報、ならびにセキュリティ脆弱性に関する方針については、以下のページを参照してください。
現在9月17日に報告された問題について、1.2 ベータ版のマイルストーンビルドか 9月17日以降にリリースされたナイトリー・ビルドを使用することにより回避出来るようです。 1.0.x 系のマイルストーン・ビルドでは、 1.0.2 で恐らく修正されるものと思われます。
それ以外の問題については、 Mozilla 1.0.1、1.1 では全て修正されています。
| 報告日 | 対象マイルストーン | 内容 | 回避方法 | 関連情報 |
|---|---|---|---|---|
| 2002.9.17 | 1.0, 1.0.1, 1.1, 1.2 アルファ版 | ユーザーがこれから訪問しようとするページの URL を、現在表示しているサイト管理者に送ってしまう。 プライバシー上の問題だけでなく、XSSに該当する問題を含んでいる。 |
|
BugTraq 285945, Bug 145579, moz-users:05013, moz-users:05019 |
| 2002.9.11 | 1.0 | 1.0 に存在していたセキュリティ問題の修正リストが公表されました。 | 1.0.1 または 1.1 にバージョンアップする。 | Recently fixed security issues, 同文書の和訳 |
| 2002.8.4 | 1.0, 1.1 アルファ版 | クッキーの騙取や改ざん、ファイルが破壊されるといった被害が発生するいわゆる XSS脆弱性があります。 | ありません。 | BugTraq 285945, Mozilla FTP View Cross-Site Scripting Vulnerability, moz-users:04931, moz-users:04932, moz-users:04933 |
| 2002.7.24 | 0.9.2 〜 1.0, 1.1 アルファ版 | クッキーの騙取が出来てしまういわゆる XSS脆弱性があります。 |
|
BugTraq 284012, Bug 159152, Bug 152725 |
| 2002.7.24 | M1 〜 1.0 RC1 | 悪意のある第三者が運営するサイトを訪問した場合、JavaScript の機能を利用することにより、PC 上のローカルファイルを読み取られる可能性があります。 | JavaScript を無効にします。 |
| 報告日 | 対象マイルストーン | 内容 | 回避方法 | 関連情報 |
|---|---|---|---|---|
| 2002.3.13 | 0.9.9 〜 1.0 RC2 | 日本語版の Windows NT 系 OS を使用している場合、インストーラーが削除できないディレクトリを作成します。 |
|
mozilla0.9.9 のインストール時注意事項 |
少しでも cookie を盗まれる危険性を低くするために、Cookie Manager を使ってみることをお薦めします(危険性を低くは出来ますが、完全に XSS 問題の解決策になる訳ではありません)。 Cookie の管理は [edit] > [Preferences] と辿り、Preferences ウィンドウを開いてください。MacOS X では [Mozilla] > [環境設定] です。
「Privacy & Security」の項目から、「Cookies」を選ぶと 図1 のような画面が表示されます。初期設定では「Enable all cookies」となっていますが、これを「Enable cookies for the originating web site only」にすることで、今見ようとしているサイト以外へ cookie を送信してしまうことを防げます。 また cookie の有効期限を設定することで、有効期限が過ぎた cookie は自動的に削除されるので、盗まれる可能性が低くなります。
