1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. ブラウザFirefoxに脆弱性発見、Google経由で悪用の可能性も

ブラウザFirefoxに脆弱性発見、Google経由で悪用の可能性も

米国時間11月8日に公表されたFirefoxブラウザに関する脆弱性(修正プログラム未公開)に関連して、当該脆弱性がGoogleドメイン(Google上の各種ユーザー向けサービス)で悪用される危険性があることが報じられました。

Firefoxの脆弱性、GoogleのXSS問題に波及(ITmedia)

Firefoxの脆弱性は、圧縮ファイル解凍のためのフォーマットであるJARに関するもので、これを悪用すると、攻撃者は細工を施した圧縮ファイルを仕掛けたサイトを用意し、例えばユーザーがコンテンツを投稿できるサイトなどを装い、Firefoxで閲覧したユーザーのパソコンに、悪意のファイルを開かせることが可能になるというもの。

現時点で修正プログラムは存在せず、プロキシサーバーやアプリケーションファイアウォールを使ってJARを含むURIを遮断する方法などが、回避策として挙げられているとのことです。

そして、11月11日には、この脆弱性に関連して、上記のGoogleのクロスサイトスクリプティング問題が報じられました。

 Google DocumentsやGroupsといったGoogleの公開URLにJARアーカイブをアップロードする方法や、リダイレクトを使う方法が考えられるとしている。

 別の研究者は、この問題によって、例えばGoogleサービスにバックドアを仕掛けたり、ユーザーの検索結果や電子メールの盗み見などが可能になると分析しているという。

同様の手口は他のWebアプリケーションにも応用可能ということで、ユーザーはこうした脅威から身を守るために、最新のセキュリティ関連情報に注意することが大事です。

<関連する他の参考記事>
Firefoxに脆弱性、投稿サイト使い悪用の恐れ(ITmedia)

関連キーワード:

Firefox

jar

URI

XSS

クロスサイトスクリプティング

ファイアウォール

プロキシ

  • 日本公認会計士協会が「ITに係る内部統制の枠組み」の草案を公表
  • カテゴリートップへ
  • EUCとは