注記：　当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。<

セキュリティ・アラート

■セキュリティ問題（10）を修正、Firefoxバージョン2.0.0.8■

危険度：中

日付：2007年10月19日


【概要：】

米国時間の10月18日遅く、モジラ・ファウンデーション社(Mozilla Foundation)は、Firefoxバージョン2.0.0.7（ウィンドウズ、Linux、Mac用）のセキュリティ問題10件を修正したアップデート版をリリースした。

Firefoxユーザーが細工されたウェブ・ページに行くと、攻撃者は問題の中でも悪質な脆弱性を利用し、ユーザーの権限を獲得した上で、そのユーザーのコンピューターでコードを実行することができるようになる。攻撃者は、そのコンピューターを完全にコントロールできるようになる可能性もある。

利用しているプラットフォームにかかわらず、Firefoxを使用している場合は、できる限り早急にバージョン2.0.0.8にアップデートすることをすすめる。

【問題の詳細：】

米国時間の10月18日、モジラ・ファウンデーションは、同社の人気なウェブ・ブラウザーに存在するセキュリティ問題10件を修正したFirefoxバージョン2.0.0.8をリリースした。中でも注意すべき脆弱性、3つの概要については次を参照。

■メモリー破壊の問題（2）

Firefoxは、メモリーを破壊する未特定のクラッシュ・バグ2件の影響を受けている。努力によっては、攻撃者はこうしたメモリー破壊の欠陥を悪用し、任意コードを実行することができると、モジラは推定している。攻撃者は、欠陥を悪用するにおいて、まずユーザーを細工されたウェブ・ページに引き寄せなければならない。ユーザーがその罠に掛かれば、攻撃者はユーザーの権限を獲得した上で、そのユーザーのマシーンでコードを実行することが可能になる。ユーザーにローカル管理者の権限が付いていた場合や、ルート権限があった場合、攻撃者は被害者のコンピューターを完全にコントロールできるようになる。

■Javaスクリプト権限の昇格問題

モジラによると、攻撃者はスクリプト・オブジェクトを使って「XPCNativeWrappers」を改変することができ、そうなった場合、攻撃者はFirefoxユーザーと同等の権限を持った状態でJavaスクリプトを実行するという。つまり、攻撃者が細工されたウェブ・ページにユーザーを導き、ユーザーに特定の方法で攻撃者のページとインタラクションを取らせることに成功すると、攻撃者はこの脆弱性を悪用してユーザーと同じ権限を持った状態で、そのユーザーのコンピューターで悪性のJavaスクリプトを実行することができるようになる。この悪性なJavaスクリプトは、ユーザーができるほとんどのことを行うことができる。このため、ユーザーにローカル管理者の権限があった場合や、ルート権限が付いていた場合、攻撃者はこの脆弱性を利用してユーザーのマシーンを完全にコントロールすることができるようになる。

■Firefoxとインターネット・エクスプローラのコード実行問題

以前、ライブセキュリティの『Wire post』で、インターネット・エクスプローラ（IE）のURI処理機能に関与する重要なセキュリティ問題について説明したことがある。この問題が悪用されると、FirefoxとIEのクロス・ブラウザー・スクリプト攻撃を誘発する結果を招いてしまう。この攻撃は、ユーザーがFirefoxとインターネット・エクスプローラ両方のブラウザーをインストールしている場合にのみ可能となる。攻撃者が細工したリンクをユーザーがIEでクリックすると、攻撃者はユーザーのセキュリティ権限を持った状態で、細工したJavaスクリプトをFirefoxで実行することができるようになる。ユーザーにローカル管理者の権限が付いていた場合、攻撃者はこの欠陥を悪用してユーザーのマシーンを完全にコントロールできるようになる。モジラは、Firefoxのこの問題の1部を7月に修正しているが、セキュリティ研究者達は、Windows XP用のIEバージョン７でこの欠陥を悪用することのできる新たな方法を発見している。今回リリースされたアップデートでこうした追加問題は修正されている。

この他には、サービス拒否（DoS）、情報開示、URL偽造問題などがある。そうした問題の詳細については、Firefoxの既知の問題を集めたページを参照することをすすめる。しかし、先に説明した重要なセキュリティ問題だけでも、使用しているFirefoxをできる限り早急にアップデートするには充分な理由となるだろう。

余談だが、Firefoxバージョン2.0.0.8アップデートは、FirefoxにおいてMac OS X 10.5(Leopard)もサポートできるようになっている。

【対策：】

モジラは、こうしたセキュリティ問題を修正するアップデート版をリリースしている。ネットワークでFirefoxを利用している場合は、できる限り早急にバージョン2.0.0.8をダウンロードし、導入することをすすめる。モジラはすでにFirefoxの1.5x系列のサポートを停止しているため、1.5xユーザーはバージョン2.0.0.8に移行することをすすめる。

Firefoxアップデート、ダウンロード先

注意：Firefox最新バージョン2.0は、Firefoxのアップデートが入手可能になると、それを自動的にユーザーに知らせるようになっている。つまり、モジラがアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools（ツール）→Options（オプション）→Advanced Tab（アドバンス・タブ）→Update Tab（アップデート・タブ）でできる。Automatically check for Updates（自動的にアップデートをチェックする）というオプション欄でFirefoxがチェックされていることを確かめること。このメニュー欄では、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザーに知らせるようにするなど、好みに合わせて設定することができるようになっている。

■ウォッチガード・ユーザー

こうした攻撃の中には、通常のHTTPトラフィックを装っているものもある。HTTPトラフィックは、ネットワーク上のユーザーが、ウェブ（ワールド・ワイド・ウェブ、略してWWW）にアクセスするには許可しておかなければならないものである。このため、先に述べた修正プログラムを取り入れることが主な対策となる。

【ステータス：】

モジラ・ファウンデーションは、こうしたセキュリティ問題を修正するFirefoxバージョン2.0.0.8をリリースしている。

【参考文献：】

Firefoxアップデート

このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。