PR

 米Mozilla Foundationは米国時間12月8日,「Mozilla Firefox」や「Mozilla Suite」に見つかったとされるセキュリティ・ホール(脆弱性)は,深刻なものではないと表明したMozilla Japanによる日本語情報)。この脆弱性を悪用されるとFirefoxなどをクラッシュさせられたり,より悪質な攻撃に利用できたりすると一部で伝えられたが,それらは誤りであり,悪用されてもブラウザの応答が一時的に遅れるだけであるという。

 12月7日前後,Firefoxの最新版である「Firefox 1.5」にDoS(サービス妨害)攻撃を受ける脆弱性が見つかったとする情報が,その検証コードとともにWebサイトやメーリング・リストなどで公表された。検証コードの実体は異常に長いタイトル(250万文字)を読み込ませるHTMLファイル。検証コードをFirefoxやMozilla Suiteで読む込むとこれらがハングアップするという。デンマークSecuniaによれば,Netscapeにも同様の脆弱性が確認されたという。検証コードはハングアップさせるだけのものだが,より“細工”を施せば,悪質なプログラムを実行させることも可能であるとの情報もあった。

 しかしMozilla Foundationによれば,検証した結果,それらの情報は誤りであることが判明したという。極端に長いタイトルがついたページを読み込めば,確かにハングアップしたような状態に陥ってブラウザが応答しなくなるものの一時的なものであり,そのうち正常に動作するという。

 また,「このDoS攻撃が応用されて悪用可能なクラッシュを引き起こす可能性があるとの主張には根拠がないこと,またこの主張を裏付ける証拠が提供されていないこと」を確認したとする。このため,今回の問題を悪用されても「起動時の一時的な不応答を超えるリスクはないと考えられる」と表明している。

 問題を悪用するようなページに一度でもアクセスすると,そのページが履歴ファイル(history.dat)から削除されるまで,起動時の不応答が続くことになる。Mozilla Japanによれば,この不応答を回避するには,「移動」メニューから「履歴」を選択して,長いタイトルの付いたアイテム(Webページ)を削除すればよいという。履歴すべてを削除することでも回避できる(具体的な手順はMozilla Japanの情報を参照のこと)。

◎参考資料
Long-title temporary startup unresponsiveness
極端に長いページタイトルに起因する起動時の一時的な不応答について

【IT Pro編集から】初出時にあった誤植を修正(「一字で気に遅れる」→「一時的に遅れる」)しました。(2005年12月12日)