Myページ
ホーム
コミュニティの人々
ソフトウェア
技術紹介
適用分野
Tyzohとは
ご意見お問い合わせ

V.S.A. III

Firefox 3.0.2 リリース

こんにちは、五十嵐智です。Firefox 3.0.2 がリリースされました。セキュリティ上の脆弱性も修正されているので、Firefox ユーザは、早めにアップデートしてください。メニューの[ヘルプ]->[ソフトウェアの更新を確認...]でも更新できます。

Mozilla Japan - Firefox 3.0.2 リリースノート

Firefox 3.0.2 で修正済み

MFSA 2008-44resource: トラバーサル脆弱性
MFSA 2008-43BOM 文字と下位サロゲート文字が実行前に JavaScript から切り捨てられる
MFSA 2008-42メモリ破壊の形跡があるクラッシュ (rv:1.9.0.2/1.8.1.17)
MFSA 2008-41XPCnativeWrapper 汚染を通じた特権昇格
MFSA 2008-40マウスドラッグの強制

tyzoh-20080924-01.jpg修正された脆弱性の中に、「resource: トラバーサル脆弱性」というのがあります。「トラバーサル脆弱性」というと、「ディレクトリ・トラバーサル脆弱性」のことかなと思ったので、調べてみました。

MFSA 2008-44: resource: トラバーサル脆弱性
resource: プロトコルにおいて URL エンコードされたスラッシュを用いた場合に、Linux 上でディレクトリトラバーサルが可能になることが、Mozilla 開発者の Boris Zbarsky によって報告されました。

ローカル HTML ファイルに課せられた制限が、resource: プロトコルを用いることで回避可能であることが、Mozilla 開発者の Georgi Guninski によって報告されました。この脆弱性は、攻撃者がシステムに関する情報を読み取ったり、そうした情報をファイルに保存するよう被害者に対して指示することを可能にするものでした。

「ディレクトリ・トラバーサル」については、私などが説明するよりも以下をご覧頂くとよいでしょう。絵入りで詳しく説明されています。

脆弱性を利用した攻撃手法(3) --- ディレクトリ・トラバーサルとOSコマンド・インジェクション:ITpro
ディレクトリ・トラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法のことである

「resource: プロトコルを使って」ということは、「http:」の代わりに、「resource:」を使ったリンクを埋め込んでおくと、それで本来必要の無いリソースの部分にアクセスできてしまうようになる、ということなのだと思います。「resource: プロトコル」なるものを知らなかったので、私も完全には理解できていませんが。

とにかく、世の中には悪さをするための色々な手法が転がっているということですね。

Firefox をお使いの皆さんは、早めのアップデートを。

カテゴリ:情報セキュリティ

<< 「Dropbox」公開、tPot やいかに? | Main | ケータイで住基カード?! >>

いかちょー (2008-09-24 20:49) | コメント(0)| トラックバック(25)

トラックバック(25)

トラックバックURL:

Refer a friendearn free auctionbid credits. - Carbon credits private landowners. (2010年1月12日 22:21)

Canadian bonded credits limited. Play free casino credits. 続きを読む

Vicodin soma deaths. - Vicodin soma deaths. (2010年1月16日 20:08)

Vicodin soma deaths. 続きを読む

Neuronal soma. - Neuronal soma. (2010年1月16日 20:59)

Neuronal soma. 続きを読む

Cymbalta and tramadol. - Cymbalta and tramadol. (2010年1月18日 22:24)

Cymbalta and tramadol. 続きを読む

Tramadol compared to other opiates. - Tramadol compared to other opiates. (2010年1月20日 08:57)

Tramadol compared to other opiates. 続きを読む

.. - .. (2010年1月22日 13:43)

.. 続きを読む

.. - .. (2010年1月22日 15:24)

.. 続きを読む

.. - .. (2010年1月26日 19:29)

.. 続きを読む

.. - .. (2010年1月28日 03:15)

.. 続きを読む

.. - .. (2010年1月28日 21:04)

.. 続きを読む

.. - .. (2010年2月10日 00:38)

.. 続きを読む

.. - .. (2010年2月10日 21:16)

.. 続きを読む

.. - .. (2010年2月11日 05:14)

.. 続きを読む

Gambling lesson plans. - Gambling lesson plans. (2010年3月16日 15:29)

Gambling lesson plans. 続きを読む

Banana coin slot boxers. - Banana coin slot boxers. (2010年3月17日 01:57)

Banana coin slot boxers. 続きを読む

Bally quick hit slot machine. - Bally quick hit slot machine. (2010年3月17日 10:25)

Bally quick hit slot machine. 続きを読む

Tropicana casino. - Tropicana casino. (2010年3月18日 04:17)

Tropicana resort casino las vegas. Tropicana hotel casino address in las vega... 続きを読む

World series of poker main event. - World series of poker main event. (2010年3月19日 02:39)

World series of poker main event. 続きを読む

.. - .. (2010年4月 1日 08:52)

.. 続きを読む

.. - .. (2010年5月31日 13:42)

.. 続きを読む

Percocet. - M360 percocet. (2010年6月26日 01:45)

Potent lortab percocet darvon. Percocet. Buy percocet online without office v... 続きを読む

Valium. - Valium. (2010年6月26日 09:39)

Valium to activan conversion table. Trazadone valium interaction. Valium. 続きを読む

Best online slots www.casino-slot-machine.net. - Online casino. (2010年6月27日 20:59)

Casino com the online casino gaming portal. Owning a online casino. Best onli... 続きを読む

.. - .. (2010年7月20日 03:16)

.. 続きを読む

Office furniture used tampa. - Pricing used baby furniture. (2010年7月30日 12:36)

New used hair salon furniture. Free used furniture. 続きを読む

コメント

コメントを投稿

名前

電子メール

URL

ログイン情報を記憶

コメント

プロフィール

いかちょー

いかちょーこと五十嵐智です。
情報セキュリティ分野に興味があります。
一応、CISSP ホルダー。

SF者です。どうぞよろしく。

プロフィール詳細 (Google プロフィール)

RSSフィード

コミュニティの人々 | ソフトウェア | 技術紹介 | 適用分野 | Tyzohとは | ご意見お問い合わせ

Copyright (C) 2004-2010 Nihon Unisys, Ltd. All Rights Reserved.
Powered by Movable Type Open Source