[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:14967] Re: Plamo-test(Mozilla titleexploit.patch)
-
From:nobuhideshimizu
-
Date:Thu, 8 Aug 2002 23:31:18 +0900 (JST)
- Subject: [plamo:14967] Re: Plamo-test(Mozilla titleexploit.patch)
- From: nobuhideshimizu <nobushimizu@xxxxxxxxxxxxxxxxx>
- Date: Thu, 8 Aug 2002 23:20:27 +0900
- Organization: Individual
みなさんこんばんは
清水です
題名がずれてるみたいですみません
> あっ、ほんとですね。
> netsacape-4.76 なら問題なしですね。
>
> > どうも、mozillaの問題では
> > ただし1.0.0はあまり自信がないので、調整不足だとはおもいますが
>
> ふむ。。。。
もじら組のメーリングリストからさがしてきました
[moz-users:04931] Mozilla FTP View のXSS問題
Akira Mutsuro さんの書いてるものそのものだとおもいます
>Mozilla の FTP View に XSS脆弱性が見つかって公表され
>ました。その原因から可能な攻撃がふたつあります。
>JavaScriptの不正な実行と FTP画面の見た目上のすり替えです。
>http://slashdot.jp/article.pl?sid=02/08/04/1520218
>http://www.geocities.co.jp/SiliconValley/1667/advisory03.html
上記文書内で言われるサニタイズ(サニタイジング)はこちら。
http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02_main.html
以上引用
>http://www.geocities.co.jp/SiliconValley/1667/advisory03.html
の中を引用すると
>この脆弱性はMozillaブラウザのFTP View機能に原因があります。
>FTP View画面のタイトル部分である'<title>URL</title>'に表示するURLをサニタイジングしていないことが原因です。
^^^^^^^^^^^^
ことばが、むずかしいですがだまされる可能性があるの意
ftp://ftp.linet.gr.jp/pub/Plamo/Plamo-2.2/ の一覧のタイトルあたりで、mozillaがひっかたてるみたいです
(mozillaが、urlの結果をチェックしてないみたい?)
この場合詐欺はされてませんが、サンプルみたいに欺かれるということです。
1.1(8月下旬リリース?)までは、vineさん等のパッチをあててビルドするか、1.1betaバイナリでいくか
ですね。
--------
清水信秀 nobushimizu@ma2.justnet.ne.jp
MYPlamoLinuxパッケージのすすめ
http://www2.justnet.ne.jp/~nobushimizu/linux/
build script改造^^) abiword不達...
- References
-
- [plamo:14953] Plamo-test, T-Hatabe
- [plamo:14954] Re: Plamo-test, MOUE Kiyoshi
- [plamo:14956] Re: Plamo-test, nobuhideshimizu
- [plamo:14957] Re: Plamo-test, MOUE Kiyoshi
[検索ページ]
[メール一覧]
Plamo ML 公開システム