Firefox緊急レベルの脆弱性を修正 2010年2月18日
Firefoxアップデート: 緊急レベルの脆弱性を修正(3)
危険度:中
2010年2月18日
【概要】
【詳細】
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースしたが、このFirefox 3.6は過去のバージョンに影響していたセキュリティ問題(最低でも5件)を修正していたことが今日になって判った。Firefox レガシー・シリーズにも影響していたセキュリティ問題を修正するために、Mozilla はFirefox 3.5.8とFirefox 3.0.18もリリースしている。ユーザが普段どおりにウェブをブラウズする以外のユーザとのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にする脆弱性であるため、中でも3件の脆弱性は深刻と評価されている。
Firefox 3.xの脆弱性の中でも深刻な問題の概要は次の通り:
Mozillaのアラートはクロスサイト・スクリプティング(XSS)についても説明している。Firefox 3.6 やレガシー・アップデートが修正する脆弱性リストについては、MozillaのKnown Vulnerabilities ページを参照することをすすめる。
注意:
攻撃者はJavaScriptなしに上記の脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止する上で、JavaScriptをデフォルトで無効にしておくのは賢明だ。Firefox を使用している場合は、デフォルト設定としてJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptもインストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6をアップデートしており、こうした問題を修正している。Firefoxをネットワークで使用している場合は、早急に3.6バージョンをダウンロードし導入することをすすめる。また、Firefox3.5.xや3.0.xシリーズを対象としたアップデートも公開されている(3.0.18はMozilla FTP serversでのみ入手可能)。但しMozilla は3.0.x や3.5.xユーザが 3.6にアップグレードすることを強く薦めており、ライブセキュリティでもそれには同感している。Firefox 3.6 は1月21日にリリースされた時点で、こうした問題を既に修正しているほか、期限切れまたは安全ではない可能性のあるプラグインやエクステンションを除去するなど、新たなセキュリティ機能もいくつか取り入れている。 注意:
最新バージョンのFirefox 3.6は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。
この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
危険度:中
2010年2月18日
【概要】
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.5.7 - 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある - 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる - 対策:
Firefox 3.6をインストールするか、Firefox 3.5.8又はレガシーFirefox3.0.18にアップグレードすること
【詳細】
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースしたが、このFirefox 3.6は過去のバージョンに影響していたセキュリティ問題(最低でも5件)を修正していたことが今日になって判った。Firefox レガシー・シリーズにも影響していたセキュリティ問題を修正するために、Mozilla はFirefox 3.5.8とFirefox 3.0.18もリリースしている。ユーザが普段どおりにウェブをブラウズする以外のユーザとのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にする脆弱性であるため、中でも3件の脆弱性は深刻と評価されている。
Firefox 3.xの脆弱性の中でも深刻な問題の概要は次の通り:
- Web Worker
配列ヒープ破損の問題 (2010-02)
MozillaがWeb Workerを実装する方法にエラーが生じ、ヒープメモリ破損問題を引き起こす。細工済みのウェブページにユーザを誘導することで、攻撃者はこの欠陥を利用してFirefoxをクラッシュさせたり、ユーザの特権を持った上で、有害なコードをそのコンピュータで実行することができる。また、ユーザがローカル管理者であったりルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
- メモリ破損の問題 (2010-01)
このアップデートではFirefoxをクラッシュできるメモリ破損問題がいくつか修正されている。MozillaのアラートはFirefox のブラウザ・エンジンに起因する点については触れているが、詳細については説明されていない。努力次第で、攻撃者はこうしたメモリ破損問題をいくつか悪用して被害者のコンピュータで任意コードを実行できるだろうとMozillaは推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならない。ユーザがその罠に掛かった場合、攻撃者はユーザの特権を獲得した上で、そのコンピュータで有害なコードを実行することができる。また、ユーザがローカル管理者であったりルート特権を持っていた場合は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
- HTMLパーサーでクラッシュするUse-after-free (2010-03)
ある特定の状況において、Firefox のHTTP パーサーは使用中のメモリを誤って開放してしまう欠陥の影響を受けている。攻撃者はそのメモリを攻撃コードで満たすことで欠陥を利用することができる。攻撃者は細工済みのウェブページにユーザを誘導すると、欠陥を利用しユーザの特権を持った状態でそのコンピュータで有害なコードを実行できる。いつもと同様にユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
Mozillaのアラートはクロスサイト・スクリプティング(XSS)についても説明している。Firefox 3.6 やレガシー・アップデートが修正する脆弱性リストについては、MozillaのKnown Vulnerabilities ページを参照することをすすめる。
注意:
攻撃者はJavaScriptなしに上記の脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止する上で、JavaScriptをデフォルトで無効にしておくのは賢明だ。Firefox を使用している場合は、デフォルト設定としてJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptもインストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6をアップデートしており、こうした問題を修正している。Firefoxをネットワークで使用している場合は、早急に3.6バージョンをダウンロードし導入することをすすめる。また、Firefox3.5.xや3.0.xシリーズを対象としたアップデートも公開されている(3.0.18はMozilla FTP serversでのみ入手可能)。但しMozilla は3.0.x や3.5.xユーザが 3.6にアップグレードすることを強く薦めており、ライブセキュリティでもそれには同感している。Firefox 3.6 は1月21日にリリースされた時点で、こうした問題を既に修正しているほか、期限切れまたは安全ではない可能性のあるプラグインやエクステンションを除去するなど、新たなセキュリティ機能もいくつか取り入れている。 注意:
最新バージョンのFirefox 3.6は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。
この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】