11件の脆弱性を修正するFirefox 3.5.6と3.0.16をMozillaがリリース 2009年12月16日
11件の脆弱性を修正するFirefox 3.5.6と3.0.16をMozillaがリリース
危険度: 中
2009年12月16日
【概要】
【詳細】
Mozilla Foundationは、人気のウェブ・ブラウザFirefox のバージョン3.5.6をリリースし、少なくとも11件のセキュリティ問題を修正した(数字はCVE-IDの情報)。また、その他にもFirefoxのレガシー・バージョンに見られるセキュリティ問題を修正するFirefoxバージョン3.0.16をリリースしている。中でも3件の脆弱性は深刻と評価されている。その理由は、ユーザが普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にする脆弱性であるため、そのように評価されている。Firefox 3.5.xの脆弱性の中でも最も深刻な問題の概要は次の通り:
【対策】
MozillaはFirefox 3.5をアップデートし、問題を修正している。ネットワークでFirefoxを使用している場合は早急にバージョン3.5.6をダウンロードし導入することをすすめる。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている(詳細についてはこちらを参照)。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
ご感想はこちらまでお気軽にお寄せ下さい:your.opinion.matters@watchguard.com
危険度: 中
2009年12月16日
【概要】
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.5.5(それ以前のバージョンも対象)
- 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
Firefox 3.5.6(又はレガシーFirefox3.0.16)にアップグレードすること
【詳細】
Mozilla Foundationは、人気のウェブ・ブラウザFirefox のバージョン3.5.6をリリースし、少なくとも11件のセキュリティ問題を修正した(数字はCVE-IDの情報)。また、その他にもFirefoxのレガシー・バージョンに見られるセキュリティ問題を修正するFirefoxバージョン3.0.16をリリースしている。中でも3件の脆弱性は深刻と評価されている。その理由は、ユーザが普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にする脆弱性であるため、そのように評価されている。Firefox 3.5.xの脆弱性の中でも最も深刻な問題の概要は次の通り:
- Libtheora
ビデオ・ライブラリをクラッシュさせる整数のオーバーフロー (2009-67)
欠陥を悪用する場合、攻撃者はまずバッファの制限を越えてデータを書くように細工したビデオを載せた有害なウェブページにユーザを誘導しなければならない。そうすることでクラッシュの原因になったり被害者のコンピュータで任意コードを実行したりすることが可能になる。ユーザがその罠に掛かった場合、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができるようになる。また、ユーザがローカル管理者であったり、ルート権限を備えていた場合は攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
- Liboggplayメディア・ライブラリの問題を修正するメモリ・セーフティ (2009-066)
先の問題と同様に、修正済みのバグが攻撃者により利用され被害者のブラウザをクラッシュさせたり、ユーザのコンピュータで任意コードが実行されたりする可能性がある。
Mozilla による評価:緊急
- GIFパーサーのバッファ・オーバーフロー問題 (2009-065)
Firefoxやその他のMozilla製品が使用するブラウザ・エンジンをクラッシュさせる問題がいくつか取り上げられている。攻撃者の活動次第で、任意コードを実行するためにいくつかの問題が悪用される可能性があるとMozillaは警告している。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
【対策】
MozillaはFirefox 3.5をアップデートし、問題を修正している。ネットワークでFirefoxを使用している場合は早急にバージョン3.5.6をダウンロードし導入することをすすめる。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている(詳細についてはこちらを参照)。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
ご感想はこちらまでお気軽にお寄せ下さい:your.opinion.matters@watchguard.com