Netscape にもとんでもないセキュリティホールが存在することがわかりました．IE のセキュリティーホールなど赤子も同然の恐ろしいセキュリティホールです…

セキュリティホールは Netscape 製の Java-VM のバグに起因します．悪意のあるプログラマによって作成された Java アプレットを動作させるだけで，Windows, Unix を問わず全てのローカルのファイルの構造を調べられ盗まれます．さらに恐ろしいことに，アプレットを Web サーバにすることが出来るというおまけ(セキュリティーホール)も存在するため，特定のページを見ただけで自分のマシンのHDDを全世界に公開することにもなります．ひゃ〜 (T-T)

真っ当に作った Java-VM には堅固なセキュリティ機能(セキュリティマネージャ)が働くため，Java アプレットからローカルのファイルを読みこむことは通常は出来ません．ましてや Web サーバなんかにはなりません．しかし，Ｎｅｔｓｃａｐｅ 製の Java-VM は非常に問題があり，ローカルのファイルを簡単に盗むことが出来るのです．これは Java そのもののセキュリティの問題ではありません．Netscape の実装に問題があるのです．(IE では，このアプレットは動作しません)

以下に起こり得る問題を述べます．

• Unix, Windows を問わず全てのローカルファイルが盗まれる． また全世界に公開される．

対策は簡単です

• Java アプレットを動作させないように設定する
• Netscape の使用をやめる
• Netscape の最新版を使用する

戦後最悪のセキュリティホールかもしれません… (^^; コラ

このセキュリティホールを利用してファイルを盗むことが如何に簡単かを示します．なお，以下のサンプルは特定のファイルの内容を表示させるだけであり，ファイルを盗むようなことはしておりませんのでご安心下さい．どうしても心配な方(へっぽこなんて信用できねえ!という方)は実行しないで下さい．

以下の手順を踏んでください．

1. Java アプレットを実行する (以上!)

いや，コレだけです (^^; 如何に簡単に実現出来るかがおわかりでしょうか？サンプルではディレクトリ構造やファイルの中身を表示するだけですが，このプログラムの元になっている Brown Orifice では Web サーバが立ち上がってファイルが盗まれます．エクスプローラでファイル一覧を表示しているような感じで全てのファイルにアクセス出来るのです!

　Brown Orifice HTTPD : ここの BOHTTPD は本当に恐ろしいです．冗談でも自分のＨＰに仕掛けるのはやめましょう．

AT互換機の部屋トップページに戻る