Limited space! Get on waitlist to be the first to know when tickets go live!
WebブラウザFirefox向けMicrosoft製アドオンが、ブロックリストに追加された。Mozillaが10月16日、公式ブログで明らかにした。 ブロックリストとは、そのアドオンをインストールするとFirefoxの動作に問題が発生するとMozillaが判断したアドオンのリストで、このリストにあるアドオンはインストールできない。また既にインストールされている場合は無効化される。 新たにブロックリストに追加されたのは、「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」。これらはMicrosoftの「.NET Framework 3.5 SP1」をインストールすると自動的にFirefoxにインストールされるもので、Microsoft自身が10月のセキュリティアップデートで深刻な脆弱性を認めた。根本の原因
会員限定サービスです 日経電子版セット2カ月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
Windowsのみ:『PeerBlock』は、ダウンロードする際にプライバシーを保護してくれる人気アプリ『Peer Guardian 2』の遺伝子を受け継ぎ、バグ修正や改善点を盛り込んだフリーアプリ。 『Peer Guardian 2』とは、外見も機能もかなり似ているので、『Peer Guardian 2』を使ったことがある方には、使い方も一目瞭然かと。 基本的には、バグ修正されたPG2の名前が変更になった、という感じだと思ってもらえると良いかと。ダウンロードプライバシーが最近気になる、という方は『Peer Block』をインストールしたら『Peer Guardian 2』ガイドも合わせて読んでみて下さいな。 我ダウンロードする故に我あり、な世の中、プライバシー保護には気を使いすぎてるくらいがちょうど良いのかも。 PeerBlock[via gHacks] Adam Pash (原文/まい
Firefox web browser - Faster, more secure & customizable 13日(カナダ時間)、SecurityFocusにおいてFirefox 3.5のJavaScript JITエンジンであるTracemonkeyコンポーネントにセキュリティ上の脆弱性があることが発表された。攻撃されるとリモートからFirefoxを実行しているユーザの権限で任意のコードが実行される危険性があるほか、攻撃に失敗した場合であってもDoS攻撃につながる危険性がある。細工されたページを閲覧するだけで任意のコードが実行可能。 脆弱性はFirefox 3.5が影響をうけるが、SecurityFocusではほかのバージョンであっても同様の危険性があるのではないかと説明されている。リモート攻撃が確認された環境はWindows XP SP2におけるFirefox 3.5。Windo
■ Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される 今年中には正式版がリリースされると目されているFirefox 3.5だが、現時点でリリースされている3.5b4のベータバージョンで確認したところ、browser.identity.ssl_domain_display の初期設定値が「1」となるようだ。つまり、たとえば、楽天のログイン画面に移行すると、アドレスバー*1が図1のようになる。 これにより、パスワードやクレジットカード番号などを入力する前に、今訪れているサイトが本物であるかどうかを、アドレスバーに表示されるドメイン名で確認できるようになる。 この機能はFirefox 3.0でも実装されていたが、初期設定ではオフにされていた。従来は図2のように、青くなるだけでドメイン名は表示されず、クリックしてドメイン名を確認する必要があった(URL中
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
「作業にツールが必要だが適当なものがない」という状況に陥ったことはないだろうか。例えば、煙探知器の電池を交換しようというときや、ドアノブのがたつきを直そうというときのように。 こうしたときに必要なツールはいつも手元にあるわけではなく、場合によっては買いに行かなければならないかもしれない。開発者が忘れがちなのは、プロジェクトで対処しなければならない問題は、意外にも、バターナイフやつめ切りといった日用品になぞらえられるようなありふれたツールを使って解決できる場合が多いということだ。 アプリケーションセキュリティの分野に目を向けると、そうしたツールとしてFirefoxのアドオン「Web Developer」が挙げられる。 Web Developerは、セキュリティテスト用のツールと思われることはまずないが、この用途に重宝する。作者のサイトから手軽にダウンロード、インストールできて便利な上、無料だ
文:Dawn Kawamoto(CNET News.com) 翻訳校正:中村智恵子、福岡洋一 2008-12-19 12:59 Mozillaは、ユーザーの個人情報をさらしかねない緊急性の高い脆弱性を解決する目的で、人気のあるブラウザ「Firefox」、電子メールクライアント「Thunderbird」、アプリケーションスイート「SeaMonkey」のアップデートをリリースした。 Mozillaはユーザーに対し、米国時間12月16日にリリースされたFirefoxのバージョン3.0.5、Thunderbirdのバージョン2.0.0.19、SeaMonkeyのバージョン1.1.14にアップデートするよう呼びかけている。 今回の脆弱性はFirefox 3の以前のバージョンだけでなく、Firefox 2にも発見されていた。 セキュリティ研究のSecuniaが17日に発表したセキュリティ勧告では、次の
12月中にリリースされるFirefox 2.0の正式版にフィッシング対策機能が搭載されないことが、Computerworldの報道で明らかになった。 Firefoxのディレクター、Mike Beltzner氏がComputerworldに語ったところによると、Firefox 2.0の旧バージョンには(フィッシング対策用として)Googleがすでにサポートを打ち切っているSafe Browsingプロトコルの古いバージョンが使用されていたため、GoogleはMozillaに対し、Firefox 2.0.0.19に搭載されているID詐欺を働いている疑いのあるサイトについて警告を出す機能を無効化するよう要請したという。 Firefox 2.0.0.19は12月16日にリリース予定で、これがFirefox 2.0の最後のセキュリティアップデートとなる。Mozillaは6月にFirefox 3をリリ
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-15 08:31 8月に開催されたBlack Hat会議で、私がMozillaのセキュリティ責任者であるWindow Snyder氏と話をした時、彼女はプライベートブラウジング機能が次の版のFirefoxに盛り込まれることはないと断言した。 ところが米国時間9月12日にMozillaは、このブラウザをユーザーの閲覧セッションに関する情報をまったくローカルに残さない一時的なモードに切り替えるプライバシー機能を、10月中に確かにFirefox 3.1に盛り込むという発表を行った。 なぜ突然スケジュールが変わったのだろうか?ブラウザ戦争2.0のせいだ。 (参照:Talking Firefox security with Mozilla’s Window Snyder) Black Ha
更新: 2008年9月20日 Yahoo!ブログ (blogs.yahoo.co.jp)に演劇ライフのブログパーツ (engekilife.com)が貼れそうかどうか調べていたのですが、その過程でどうでも良いことを発見。 以下のように、img要素のsrc属性に javascript: で始まる値が吐かれてしまうというXSSの例がよくあります。
米国時間6月17日に正式リリースされた「Firefox 3」だが、それから24時間も経たないうちに脆弱性が発見された。 Tipping Pointの「Zero Day Initiative」によると、今回発見された脆弱性は危険度が高く、正式リリース後5時間以内に報告されたという。 「この脆弱性はTippingPointのDVLabsで確認され、研究者から情報を入手した時点で、直ちにMozillaのセキュリティ担当チームに報告された」と、関係者は述べている。 ベンダーが対策を取るまでZero Day Initiativeチームは脆弱性の詳細を明らかにしない。だが、ブログへの投稿によると、今回の脆弱性は「Firefox 2」にも影響し、ユーザーの操作を必要とするもので、悪用されると攻撃者に任意のコードを実行される恐れがあるという。 Mozillaは現在、修正版の作成に取り組んでいると報じられて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く