パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla Firefox1.0.3に最高レベルの脆弱性」記事へのコメント

  • by Anonymous Coward
    JavaScriptを切る代わりに、software installationを無効にすることでもとりあえず回避できるようです。
    http://www.mozillazine.org/talkback.html?article=6582 [mozillazine.org]
    • by Anonymous Coward on 2005年05月09日 13時31分 (#732538)
      さらにこの記事によれば、、software installationを許可する"allowed site"のリストから、update.mozilla.org とaddons.mozilla.org 以外を全て消しておくとよさそうです。プラグインを自分でインストールしていない限りこの2つ以外は最初から存在しないはずです。

      この脆弱性は、(1) IFRAMEの脆弱性を使って、アクセスをこの"white list"に載っているサイトとFirefoxに誤認させる (2) (1)のチェックを通過した状況で、JavaScriptの脆弱性を使って任意のコードを実行させる というもので、上に挙げた二つのサイトについてはサーバー側で(1)を防ぐ対策済み、ということだと思います。
      親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...