mumumuの日記: Mozilla, Firefox, Thunderbirdのshellプロトコルに脆弱性 2
一次ソース:bugzilla bug 250180
Security Update:What Mozilla users should know
about the shell: protocol security issue
問題の詳細:
・「shell:」というプレフィックスをつけてWindows上のパスを
入力するとローカルファイルが閲覧できてしまう
・「shell:」というプレフィックスをつけた存在しないコンテン
ツへのリンクをクリックすると、システムがクラッシュするまで
Mozillaのインスタンスが起動し続ける
・「shell:」というプレフィックスのあとに実行プログラムへの
パスをつけたリンクをクリックさせることで任意のプログラムを
実行させることが可能
----
上記のバグレポートにあるサンプルサイトでちぃと試しました
が、、ガクガクブルブル
影響があるのはWindows 2000, XP上で実行されるMozilla,
Firefox, Thunderbird。Mozillaについてはパッチを当てて
Mozillaを再起動するか、1.7.1へのアップデートをしませう~
(*´~`)
----
mumumu曰く、"mozilla.orgのセキュリティアップデートのページより。Mozilla、Firefox、またはThunderbirdで、「shell:」というプレフィックスつきのリンクをクリックしたり、アドレスを入力したりすると、DOS攻撃を受けたり、任意のファイルを実行される恐れがある脆弱性が発見されたそうです。影響を受けるのはWindows上でMozilla、Firefox及びThunderbirdを使用しているユーザーであり、Linux, Macintoshユーザーへの影響はありません。該当するユーザーはパッチを当ててブラウザを再起動するか、このバグをFixした最新版が公開されていますので、バージョンアップした方がよいでしょう。"
[ Update July 9th 13:30 JST by m ]
却下されますた(*´~`)marusaさめのタレの方ができがよい
ので致し方ないどす(´ー`;) というかこれをタレたタイミ
ングって表に記事が出たタイミングとほぼ同じどすた(´ー`;)
やーばーすーぎーるー (スコア:1)
Re:やーばーすーぎーるー (スコア:1)
しかしやばいバグでしたね、、見事にシステム落ちましたし。
バージョンアップ後はshellがついたリンクは表示されなくな
っています。よかったよかった(*´~`)
# 無精、短気、傲慢、これ最強