アップデート:Firefox 3.6.x - 初のセキュリティ・アップデート 2010年3月31日
アップデート: Firefox 3.6.x - 初のセキュリティ・アップデート
Mozilla:レガシーFirefox のセキュリティ・アップデートもリリース
危険度:高
2010年3月31日
アップデート: 米国時間の2010年3月24日、LiveSecurity は 10件のセキュリティ脆弱性を修正したFirefox 3.6.2 について報告した。そのアラートをリリースした時点で、MozillaはFirefoxの3.6.xアップデートのみを用意しており、3.0.xや 3.5.xシリーズのFirefoxに対応するアップデートはまだリリースされていなかった。 そして3月31日、Mozilla FoundationはFirefox3.5.9と3.0.19をリリースし、Firefox 3.6.2で修正した問題と同じ脆弱性をいくつも修正した。 このバージョンが修正している脆弱性の詳細について知りたければ、前回報告したアラートを参照するか、Firefoxの「Known Vulnerabilities」のページを参考にすることをすすめる。 できるならFirefox, 3.6.xシリーズの最新版を使用することを強く薦める。3.6.xを使用している場合は、前回の記事を報告した時点で3.6.2にアップデートしていることだろう。その場合は、このアップデートを読み進める必要はない。しかし、何らかの理由でFirefox 3.0.x や 3.5.xを使い続けるのであれば、Mozillaの最新アップデートをダウンロードしインストールすることをすすめる。
---------------------------------------------------------------------------------------------
Firefox 3.6.x - 初のセキュリティ・アップデート
危険度:中
2010年3月24日
概要:
詳細:
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6(特に3.6.2バージョン)のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した(数字はCVEによるもの)。この脆弱性は、普通にウェ ブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは 報告されている脆弱性のうち4件を深刻と評価している。
Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照:
Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング(XSS) の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリ ングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。
注意:
攻撃者はJavaScriptな しでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがい い方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptも インストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozilla は3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラ グインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、 3.6.xに移行することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動 アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、 Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるよ うにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやっ てくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
Mozilla:レガシーFirefox のセキュリティ・アップデートもリリース
危険度:高
2010年3月31日
アップデート: 米国時間の2010年3月24日、LiveSecurity は 10件のセキュリティ脆弱性を修正したFirefox 3.6.2 について報告した。そのアラートをリリースした時点で、MozillaはFirefoxの3.6.xアップデートのみを用意しており、3.0.xや 3.5.xシリーズのFirefoxに対応するアップデートはまだリリースされていなかった。 そして3月31日、Mozilla FoundationはFirefox3.5.9と3.0.19をリリースし、Firefox 3.6.2で修正した問題と同じ脆弱性をいくつも修正した。 このバージョンが修正している脆弱性の詳細について知りたければ、前回報告したアラートを参照するか、Firefoxの「Known Vulnerabilities」のページを参考にすることをすすめる。 できるならFirefox, 3.6.xシリーズの最新版を使用することを強く薦める。3.6.xを使用している場合は、前回の記事を報告した時点で3.6.2にアップデートしていることだろう。その場合は、このアップデートを読み進める必要はない。しかし、何らかの理由でFirefox 3.0.x や 3.5.xを使い続けるのであれば、Mozillaの最新アップデートをダウンロードしインストールすることをすすめる。
- Firefox 3.5.9
- Firefox 3.0.19 (FTPでのみ入手可能)
---------------------------------------------------------------------------------------------
Firefox 3.6.x - 初のセキュリティ・アップデート
危険度:中
2010年3月24日
概要:
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.6 - 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある - 影響:
その影響は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる - 対策:
Firefox 3.6.2にアップグレードすること
詳細:
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6(特に3.6.2バージョン)のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した(数字はCVEによるもの)。この脆弱性は、普通にウェ ブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは 報告されている脆弱性のうち4件を深刻と評価している。
Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照:
- WOFF
の整数のオーバーフロー脆弱性 (2010-08)
Firefox 3.6 は圧縮をサポートするダウンロード可能なフォント・フォーマット、ウェブ・オープン・フォント・ フォーマット(WOFF)をサポートしている。Firefox のWOFF デコーダーは、ヒープ・メモリ破損の原因となる整数の オーバーフロー問題の影響を受けているため、攻撃者は任意のコードを実行することができる。攻撃者は細工済みのウェブページにユーザを誘導するこ とで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態で、そのユーザのコンピュータで実行することができる。ま た、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急 - 3つのメモリ破損の問題 (2010-11)
このアップデートは、少なくてもFirefoxをクラッシュさせることができるその他3つのメモリ破損問題も修正している。Mozillaの アラートはFirefox のブラウザ・エンジンに起因する点について触れているが、詳細については説明されていない。Mozillaは、攻撃者の努力次第でメモリ破損問題をいくつ か悪用し、被害者のコンピュータで任意のコードを実行できるだろうと推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導し なければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した状態で、そのユーザのコンピュータで有害なコードを実行できる。また、ユー ザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング(XSS) の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリ ングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。
注意:
攻撃者はJavaScriptな しでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがい い方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptも インストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozilla は3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラ グインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、 3.6.xに移行することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動 アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、 Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるよ うにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやっ てくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】