ψ全主要ブラウザに影響する脆弱性発見

このエントリーをはてなブックマークに追加
1( ´`ω´)ψ ★

■全主要ブラウザに影響する脆弱性発見〜IEだけでなく、事実上すべての主要ブラウザに影響する
  脆弱性が発見された。(04/11/30)

 Internet Explorer(IE)だけでなく代替ブラウザのMozilla Browser、Mozilla Firefox、Opera、Apple Safariにも
影響する新たなバグが報告された。これらブラウザをクラッシュさせ、事実上すべての主要ブラウザに影響を与える
攻撃の基盤となる可能性もある。

 このバグは「Infinite Array Sort Denial Of Service Vulnerability」と呼ばれ、影響を受けるブラウザで、
無限のJavaScriptアレーソートを誘発させる。これが原因でこれらブラウザ上でサービス妨害(DoS)を引き起こし、
スタックメモリを使い果たしてクラッシュにつながる。

 現時点でこの脆弱性を付いた悪質なコードが出回っているとの確認情報はないが、それが出現するのは時間の
問題かもしれない。

以下詳しくは、ソースで。

( ´`ω´)つhttp://www.itmedia.co.jp/enterprise/articles/0411/30/news007.html



2名無しさん@お腹いっぱい。:04/11/30 11:22:39 ID:???
( ´`ω´)ψ2
3名無しさん@お腹いっぱい。:04/11/30 12:00:31 ID:???
なあ、これって単なるそこらのブラクラじゃねーの?
4名無しさん@お腹いっぱい。:04/11/30 12:07:17 ID:???
マジでブラクラだなw
itmediaやっちゃったか。
5名無しさん@お腹いっぱい。:04/11/30 12:13:16 ID:???
オーバーランさせられるってことだろ
6名無しさん@お腹いっぱい。:04/11/30 12:28:26 ID:???
ただの無限ループの一種。
オーバーランなどではない。
7名無しさん@お腹いっぱい。:04/11/30 13:17:59 ID:???
で、対処法は?
8名無しさん@お腹いっぱい。:04/11/30 13:28:54 ID:???
JavaScript切る
9名無しさん@お腹いっぱい。:04/11/30 13:29:19 ID:???
スタックオーバーフローするって事でしょ?
10名無しさん@お腹いっぱい。:04/11/30 13:33:48 ID:TzHR6rrB
なんだ、Lynx関係ないならどうでもいい。
11名無しさん@お腹いっぱい。:04/11/30 13:35:23 ID:???
11Nullpo
12名無しさん@お腹いっぱい。:04/11/30 20:55:43 ID:T6Hu7Khq
脆弱性の定義が分からんがこの定義でいくと
ネットにつないでて、F5アタックを受ける可能性があることも脆弱性と呼ぶってことになるな
13名無しさん@お腹いっぱい。:04/11/30 21:35:37 ID:???
オーバーフローしてオーバーランを引き起こされるってことでFA?
14名無しさん@お腹いっぱい。:04/11/30 21:50:46 ID:???
>>13
あぁ。もうそれでいいよ。
ただし他人には話さないほうがいいよ。
馬鹿にされるから。
15名無しさん@お腹いっぱい。:04/11/30 21:58:09 ID:???
一番恥ずかしいのは、何も分かってないのに偉そうにしてる>>14ってことは黙っておくか
16名無しさん@お腹いっぱい。:04/12/01 00:09:20 ID:???
これは危険じゃないとか言う香具師は
スタックオーバーフロー
ぐぐってみろ
17名無しさん@お腹いっぱい。:04/12/01 00:20:47 ID:utnPBL8Z
IEだけ公表しとけ、ヴァカ
18名無しさん@お腹いっぱい。:04/12/01 00:21:43 ID:???
スタックオーバーフローは起こりやすいし、割と悪用しやすいって言うからな
19名無しさん@お腹いっぱい。:04/12/01 00:49:42 ID:???
結局セキュアなブラウザってあるの?
20名無しさん@お腹いっぱい。:04/12/01 01:18:29 ID:???
>>19
セキュアなソフトとは穴が見つからないソフトではなく
見つかった穴を迅速にふさぐソフト。
21名無しさん@お腹いっぱい。:04/12/01 03:41:51 ID:???
>>16
別に危険じゃないよ?
22名無しさん@お腹いっぱい。:04/12/01 03:43:08 ID:???
っていうかこれはスタックオーバーフローじゃないんだけど?
23名無しさん@お腹いっぱい。:04/12/01 04:22:43 ID:???
恥ずかしい>>15に説明してやると、セキュリティホール関連の用語の
スタックオーバーフローとは、コード内のバッファ領域が足りず
スタック領域を上書きしてしまうこと。バッファオーバーフローや
バッファオーバーランと同じ意味。

これは単にスタックメモリが足りなくなるだけ。
このときにstack overflowとメッセージを出す処理系があるから
それと混乱しているのだろう。
24名無しさん@お腹いっぱい。:04/12/01 08:12:55 ID:???
>>23
バッファオーバーランとバッファオーバーフローを混同してる馬鹿
25名無しさん@お腹いっぱい。:04/12/01 08:53:27 ID:???
クラシック:趣味と実益のスタック破壊
http://linux.ascii24.com/linux/linuxcom/2000/06/13/465216-000.html

>>24
必死でググったことぐらい察してやれ
26名無しさん@お腹いっぱい。:04/12/01 09:07:30 ID:???
>>24
混同もなにも同じ物だけど?
http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE383A9E383B3.html
バッファオーバーラン 【バッファオーバーフロー】
別名 : buffer over-flow, buffer over-run

スタックが領域がなくなったからといって
スタックが破壊されるわけじゃないしな。
勘違いしている奴多すぎ。
これはたいした問題じゃない。
27名無しさん@お腹いっぱい。:04/12/01 09:08:00 ID:???
×スタックが領域がなくなったからといって
○スタック領域がなくなったからといって

28名無しさん@お腹いっぱい。:04/12/01 09:09:49 ID:???
これはブラクラクラッシュオーバーフローだろ
脆弱性じゃない
29名無しさん@お腹いっぱい。:04/12/01 09:15:11 ID:???
>>26
http://www.securityfocus.com/archive/79/140361

オーバーフローしたからと言ってオーバーランするとは限らない
30名無しさん@お腹いっぱい。:04/12/01 09:16:22 ID:???
>>28
ブラクラクラッシュ…ブラクラは何の略なんだと小一時間(ry
31名無しさん@お腹いっぱい。:04/12/01 09:19:50 ID:???
>>30
(; ・`д・´)え!? (`・д´・ (`・д´・ ;) ブラジル・クライシスの略でしょ!?
32名無しさん@お腹いっぱい。:04/12/01 09:26:11 ID:???
>>31
(; ・`д・´)え!? (`・д´・ (`・д´・ ;) ブラジリアン・クライストの略でしょ!?
33名無しさん@お腹いっぱい。:04/12/01 09:27:07 ID:???
>>29
同じ事象に対してオーバーフローとオーバーランの
どっちの言い方が好きかということに対して
フローとランの言葉のニュアンスからランという言い方を
選んでいるという個人的な考えを述べているわけであって、
オーバーフローとオーバーランの定義も、これらが別の物であるとも
言っていないのですが何か?
3433:04/12/01 09:30:51 ID:???
29のリンク先のメーリングリストへの投稿文書に対しての話ね。
35名無しさん@お腹いっぱい。:04/12/01 09:34:51 ID:???
混同してる奴はセキュ板では馬鹿にされるけどな(w

バッファオーバーフロー Part1
http://pc5.2ch.net/test/read.cgi/sec/1100315215/28,32,34

28 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/11/15(月) 00:36:46
会社に出入りしてるエンジニアもオーバーラン、オーバランと言ってるな

32 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/11/21(日) 16:37:43
>>28
同じだと思ってるバカは首にした方がいいぞ

34 名前:名無しさん@お腹いっぱい。[] 投稿日:04/11/26(金) 19:09:41
>>32
フローしてもランするとは限らないってことやね。
フローはDoS攻撃でよく使われる
ランはその後の何かに期待する
36名無しさん@お腹いっぱい。:04/12/01 09:38:54 ID:???
必死でググった結果が、
個人的な意見と
2ちゃんねるのレスかよw
37名無しさん@お腹いっぱい。:04/12/01 09:44:58 ID:???
>>35
もっと信頼できるところから持ってこようね。

http://www.atmarkit.co.jp/aig/02security/overflow.html
> @IT > @IT総合検索 > セキュリティ用語事典 > バッファオーバーフロー
> バッファオーバーランともいう。

http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/buffer-overflow.html
> Secure Programming for Linux and Unix HOWTO
> バッファオーバーフローは「バッファオーバーラン」とも言われ

http://www.ipa.go.jp/security/awareness/vendor/programming/b06_01_main.html
> バッファオーバーラン(注1)
>(注1・「バッファオーバーフロー」とも言う。
38名無しさん@お腹いっぱい。:04/12/01 09:54:47 ID:???
>>36
2ちゃんねるで2ちゃんねる批判をしているスレはここですか?
39名無しさん@お腹いっぱい。:04/12/01 10:00:28 ID:F/sAOH9P
( ^ω^)うわ、このスレおもすれー
40名無しさん@お腹いっぱい。:04/12/01 10:00:31 ID:???
>>38
おいおい。2ちゃんねるやっといて、
2ちゃんねるのほとんどが嘘と勘違いと煽りと自作自演で
出来てるの知らないのか?w
41名無しさん@お腹いっぱい。:04/12/01 10:06:47 ID:5PLohmBs
きじゃくせいって読んでるんじゃねぇよばか
42ぼるじょあ ◆yBEncckFOU :04/12/01 10:15:09 ID:ZmsI9PYy
>>40
 *     +    巛 ヽ
            〒 !   +    。     +    。     *     。
      +    。  |  |
   *     +   / /   イヤッッホォォォオオォオウ!
       ∧_∧ / /
      (´∀` / / +    。     +    。   *     。
      ,-     f
      / ュヘ    | *     +    。     +   。 +        このスレッドは1000を超えました。
     〈_} )   |                                次スレも…VIPクオリティ!!
        /    ! +    。     +    +     *         http://ex7.2ch.net/news4vip/
       ./  ,ヘ  |
 ガタン ||| j  / |  | |||
――――――――――――
43名無しさん@お腹いっぱい。:04/12/01 10:32:15 ID:???
>>38
おいおい。2ちゃんねるやっといて、
2ちゃんねるのほとんどが嘘と勘違いと煽りと自作自演と
ネタとコピペで出来てるの知らないのか?w
44名無しさん@お腹いっぱい。:04/12/01 10:40:05 ID:???
>>41
あぶじゃくしょうぐらい読めよ
45名無しさん@お腹いっぱい。:04/12/01 10:58:16 ID:???
アブダクション?
46名無しさん@お腹いっぱい。:04/12/01 11:05:31 ID:lcoPxcbE
金主席、ブラジャーに影響される脆弱性発見
47BORUJOA ◆Fk1I8OQaF2 :04/12/01 11:33:59 ID:???
NullpoNullponoNyullpoxtupo-
48名無しさん@お腹いっぱい。:04/12/01 11:44:22 ID:???
|__∩
|エ)・) ダレモイナイ・・・イッパツゲイスルナライマノウチ・・・
|⊂丿


   .∩_∩
  ( ・(エ)・) < セーノ♪
  (\_i  i_ノ 
  (_( ̄)_)


      
   .∩_∩
  ( ・(エ)・) < クマネチ !!
  (_(    )_)
  (_( ̄)_)


   .∩_∩
  (;・(エ)・) < ・・・・・・
  (_(    )_)
  (_( ̄)_)


|彡
|彡 サッ
|彡
49名無しさん@お腹いっぱい。:04/12/01 12:18:48 ID:???
『IE』をはじめとする複数の主要ブラウザに共通のバグ
http://japan.internet.com/webtech/20041130/11.html
わざわざ別の翻訳してるのね。
50名無しさん@お腹いっぱい。:04/12/01 12:50:35 ID:???
おいおい被害が大きいのはIEだけだろ
他のブラウザを巻き込むなよ
51名無しさん@お腹いっぱい。:04/12/01 17:43:21 ID:eFdYNmlO
>>48
くぁわゆい
52名無しさん@お腹いっぱい。:04/12/01 17:46:21 ID:???
スタックマシンについて語るスレッドはここですか?
53名無しさん@お腹いっぱい。:04/12/01 19:21:53 ID:UWe+mcdv
はいそうです。」:::
54名無しさん@お腹いっぱい。:04/12/01 19:26:14 ID:???
なるほどその手があったか、たしかにJavaオフしても無駄だな
55名無しさん@お腹いっぱい。:04/12/02 01:28:26 ID:???
JavaとJavaScriptは違うもの。
明らかにわかっているJavaオフしても無駄なんていう奴は素人だろ。
な〜にが、なるほどだ。知ったか。
56名無しさん@お腹いっぱい。:04/12/09 08:26:48 ID:i67efuih
「複数のブラウザにポップアップウィンドウをハイジャックされる脆弱性 」
http://internet.watch.impress.co.jp/cda/news/2004/12/08/5718.html

またみつかりました
57名無しさん@お腹いっぱい。:04/12/09 08:31:15 ID:???
JavaScriptに変わるセキュアなブラウザ用スクリプト作ろうぜ
58名無しさん@お腹いっぱい。:04/12/09 09:30:57 ID:???
ごかってに
59名無しさん@お腹いっぱい。:04/12/09 20:16:53 ID:???
なぁ、この脆弱性を持たない言語ってある?
60名無しさん@お腹いっぱい。:04/12/10 00:47:01 ID:???
これを起こらないようにするのが仕事だろ。C言語は起こりやすいとしても、防ぐことはできる
61名無しさん@お腹いっぱい。:04/12/10 01:45:09 ID:???
コンピュータ用語だと思うけど、このき弱性ってのはどういう意味なの?
62名無しさん@お腹いっぱい。:04/12/10 01:48:47 ID:???
>>61
>>44
63名無しさん@お腹いっぱい。:04/12/10 03:56:27 ID:???
>>62
なるー、サンクス。あぶじゃくしょうって読むのか(^^;)。恥をかくところだったぜ。
64名無しさん@お腹いっぱい。
>>52
ハイパーカードじゃないの?ハイパーカードでWebブラウズできるスタックに挑戦してた人がいたような