【日經BP社報導】丹麥安全公司Secunia當地時間11月10日公開了在Web流覽器 “Mozilla Firefox 0.x”中發現的若干安全漏洞（英文）。如果惡意利用這些漏洞，可能會造成DoS（拒絕服務）攻擊與對話方塊偽裝等。與之相關的對策是升級到 Firefox 1.0（日文）。雖然這些漏洞不是特別危險，不過由於Firefox 1.0正式版剛剛推出，因此最好還是升級到1.0版。

　　Secunia公開的安全漏洞都已被“Bugzilla”（英文）報告過，此次借已修正這些漏洞的Firefox 1.0正式版發行之際，Secunia將這些漏洞匯總後公開。

　　Secunia公開的是以下三種安全漏洞：

（1）有關IMG標識的安全漏洞
（2）有關顯示對話方塊的安全漏洞
（3）有關Firefox許可權的安全漏洞

　　（1）是如果給IMG標識的SRC指定本地檔案名，就會獲知該檔是否存在的安全漏洞。另外，如果將檔案名指定為設備檔，Firefox就進入DoS狀態。在Windows版中，還有可能通過檔共用竊取口令（不過，IE等其他流覽器也存在這一安全漏洞）。

　　（2）是如果檔案名被做手腳，就會偽裝檔下載時顯示的對話方塊的安全漏洞。可以將危險的檔偽裝成安全的檔類型，並引誘用戶運行。照片為Secunia 公開的訪問示範網頁時的例子，準備下載的文件看上去是PDF文件“Secunia.pdf”，實際上 卻是HTML程式。

　　不過，如果“保存（Save）”檔則不會受害（默認為“保存”），只有在對話方塊中選擇“打開（Open）”時才會受到影響。並且在IE與Opera中也發現了這一安全漏洞（參閱本站報導）。

　　（3）是只有Mac OS X版才受到影響的安全漏洞。由於在Mac OS X中Firefox是以“world-writable”許可權安裝的，因此本地用戶（能訪問該機器的用戶）有可能惡意利用安全漏洞“升格”自己的許可權。

　　對策是升級到Firefox 1.0版（參閱本站報導），1.0版已修復了上述所有安全漏洞。（記者：勝村 幸博）

【日經BP社報導】美國Finjan Software在Windows XP Service Pack 2（SP2）with Advanced Security中發現了10個嚴重漏洞。這是Finjan於當地時間11月10日透露的。“如果惡意利用本公司發現的SP2的全部漏洞，用戶只要流覽 Web網頁便會遭到入侵。”（該公司）

　　該公司表示，已通知美國微軟關於上述漏洞詳細技術資料，並支援後者開發安全補丁。關於是否公開漏洞資訊，該公司表示，“為防止被用來開發病毒和蠕蟲等惡意代碼，在微軟完全發佈補丁前不會公開”（Finjan）。

　　Finjan發現的主要漏洞的概況如下。

•可從外部訪問個人電腦內部檔

•可改變Internet Explorer的安全區設置，並從網際網路下載代碼式作為本地代碼執行。這有可能從外部向個人電腦發送可讀寫及執行檔的代碼

•可以不提出警告便下載檔或執行可執行檔