アップデート: Mozillaの新しいFirefox 3.5でゼロデイ悪用 2009年7月20日
アップデート: Mozillaの新しいFirefox 3.5でゼロデイ悪用
ゼロデイ脆弱性を修正するFirefox 3.5.1をMozillaがリリース
危険度: 高
2009年7月20日
【アップデート】
2009年7月14日、LiveSecurity は Firefox 3.5 に見られるゼロデイ脆弱性について読者に注意を呼び掛けた。この深刻な脆弱性を発見したセキュリティ研究家は、その時点ですでに悪用コードを一般公開していたのだがMozilla がまだパッチを用意していなかったため、この欠陥はFirefox 3.5 ユーザに対し深刻なリスクとなっていた。
しかし最近になりMozilla Foundationはこのセキュリティ脆弱性のみを修正するFirefox 3.5.1をリリースした。この欠陥の詳細は、Firefox 3.5に関するMozillaの"Known Vulnerabilities"(既知の脆弱性)のページに掲載されている。
ネットワークでFirefox 3.5を使用している場合は、バージョン3.5.1 を早急にダウンロードし導入することをすすめる。 注意:
Firefox 3.5の最新バージョンは、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューではFirefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
この脆弱性の詳細については、7月14日付けのセキュリティ・アラートを参照することをすすめる。同記事はこちらからも閲覧可能。
=======================================================
Mozillaの新しいFirefox 3.5でゼロデイ悪用
危険度: 高
2009年7月14日
【概要】
対象:
Firefox 3.5 (それ以前のバージョンでの可能性もあり)
攻撃方法:
悪性のウェブ・ページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
米国時間の7月14日遅く、Simon Berry-Byrneというセキュリティ研究家がWindows対応のFirefox 3.5に見られるゼロデイ脆弱性の悪用コードを公開した。現時点ではこの脆弱性が旧バージョンのFirefoxに影響するのか、また他のオペレーティング・システムにも影響を与えているのかどうかは定かでない。
悪用にはFirefoxのJavaScriptエ ンジンがHTML フォント・タグを処理する際に見られる欠陥が使われる。攻撃者は細工したウェブページにユーザを誘導することで欠陥を悪用し、ユーザの特権を得た状態でそ のコンピュータでコードを実行する。また、ユーザにWindowsのローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全に操作できるよう になる。
この問題についてMozilla は悪用コードが公開される前に知ってはいたが、そのセキュリティ研究家が7月14日に悪用コードを一般公開することは予期していなかった模様だ。Mozilla はブログ記事でFirefox 3.5のJust-in-Time (JIT) JavaScript のコンパイラーの脆弱性について認め、近くリリースする予定である次回のセキュリティ・アップデートで、この問題を修正すると約束している。
ライブセキュリティでもこの悪用コードをテストしたところ、それが実際に使えるものであることを確認することができた。現状の概念実証(PoC)の悪用は、Windows calculator のアプリケーションを実行するようにデザインされているものにすぎないが、腕の立つ攻撃者であれば、この悪用方法をより危険なシェルコードに変更することは簡単だ。そのように危険な悪用コードが一般に広く出回っていることを考えれば、この脆弱性は深刻なリスクを掲げているものであると見て取れる。できる限り早急に次の回避策を講じることをすすめる。
【対策】
Mozilla は充分な時間を確保することができなかったため、この脆弱性に対応するパッチをまだ用意していないができる限り早急にパッチをリリースする予定だという。それまでは下記の回避策を講じ、この脆弱性のリスクを緩和させることができる。
全ユーザ対象:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにしておくにはファイアウォールでHTTPトラフィックを許可しておく必要があるため、上記の回避策を導入することが主な対策となる。
【ステータス】
Mozilla Foundationはできる限り早急にパッチをリリースすると述べている。それまでは上述の回避策を講じ、脆弱性によるリスクを緩和させることができる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
ゼロデイ脆弱性を修正するFirefox 3.5.1をMozillaがリリース
危険度: 高
2009年7月20日
【アップデート】
2009年7月14日、LiveSecurity は Firefox 3.5 に見られるゼロデイ脆弱性について読者に注意を呼び掛けた。この深刻な脆弱性を発見したセキュリティ研究家は、その時点ですでに悪用コードを一般公開していたのだがMozilla がまだパッチを用意していなかったため、この欠陥はFirefox 3.5 ユーザに対し深刻なリスクとなっていた。
しかし最近になりMozilla Foundationはこのセキュリティ脆弱性のみを修正するFirefox 3.5.1をリリースした。この欠陥の詳細は、Firefox 3.5に関するMozillaの"Known Vulnerabilities"(既知の脆弱性)のページに掲載されている。
ネットワークでFirefox 3.5を使用している場合は、バージョン3.5.1 を早急にダウンロードし導入することをすすめる。 注意:
Firefox 3.5の最新バージョンは、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューではFirefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
この脆弱性の詳細については、7月14日付けのセキュリティ・アラートを参照することをすすめる。同記事はこちらからも閲覧可能。
=======================================================
Mozillaの新しいFirefox 3.5でゼロデイ悪用
危険度: 高
2009年7月14日
【概要】
対象:
Firefox 3.5 (それ以前のバージョンでの可能性もあり)
攻撃方法:
悪性のウェブ・ページにユーザを誘導する
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」欄を参照し、状況に見合った対策を講じること
【詳細】
米国時間の7月14日遅く、Simon Berry-Byrneというセキュリティ研究家がWindows対応のFirefox 3.5に見られるゼロデイ脆弱性の悪用コードを公開した。現時点ではこの脆弱性が旧バージョンのFirefoxに影響するのか、また他のオペレーティング・システムにも影響を与えているのかどうかは定かでない。
悪用にはFirefoxのJavaScriptエ ンジンがHTML フォント・タグを処理する際に見られる欠陥が使われる。攻撃者は細工したウェブページにユーザを誘導することで欠陥を悪用し、ユーザの特権を得た状態でそ のコンピュータでコードを実行する。また、ユーザにWindowsのローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全に操作できるよう になる。
この問題についてMozilla は悪用コードが公開される前に知ってはいたが、そのセキュリティ研究家が7月14日に悪用コードを一般公開することは予期していなかった模様だ。Mozilla はブログ記事でFirefox 3.5のJust-in-Time (JIT) JavaScript のコンパイラーの脆弱性について認め、近くリリースする予定である次回のセキュリティ・アップデートで、この問題を修正すると約束している。
ライブセキュリティでもこの悪用コードをテストしたところ、それが実際に使えるものであることを確認することができた。現状の概念実証(PoC)の悪用は、Windows calculator のアプリケーションを実行するようにデザインされているものにすぎないが、腕の立つ攻撃者であれば、この悪用方法をより危険なシェルコードに変更することは簡単だ。そのように危険な悪用コードが一般に広く出回っていることを考えれば、この脆弱性は深刻なリスクを掲げているものであると見て取れる。できる限り早急に次の回避策を講じることをすすめる。
【対策】
Mozilla は充分な時間を確保することができなかったため、この脆弱性に対応するパッチをまだ用意していないができる限り早急にパッチをリリースする予定だという。それまでは下記の回避策を講じ、この脆弱性のリスクを緩和させることができる。
- FirefoxのJavaScriptエンジンにあるJIT
を無効にする
Firefoxを開きブラウザのURLを入力するアドレス・バーにabout:configと入力する。その場合、画面に警告メッセージが表示されることもあるが、その際は「I'll be careful, I promise!」(注意するので大丈夫!といった内容の選択肢)をクリックする。次に画面の上方に見えるフィルター・ダイアログボックスにjit と入力する。最後にjavascript.options.jit.content というラインをダブルクリックしfalseで設定する。このステップを取れば、Firefoxの脆弱なコンポーネントを無効にすることができる。Mozilla がパッチをリリースしたらこれと同じ手順でJIT を有効に、つまりfalseと設定したものをtrueに設定しなおせばいい。 - Firefox NoScript extensionを使う
Firefox のNoScript extensionは、ウェブページのJavaScript、Java、ActiveX、Flash コンテンツなどをデフォルトで無効にすることができる他、ユーザが信頼する正当なウェブページのコンテンツは有効にしておくための簡単な方法も提供している。NoScript extensionでブラウズすると、悪質なウェブサイトが攻撃を実行させるために必要なコードを阻止できる。概してFirefoxを使用しているのであればNoScript を使って多々あるウェブベースの攻撃によるリスクを緩和させるのがいいだろう。
全ユーザ対象:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにしておくにはファイアウォールでHTTPトラフィックを許可しておく必要があるため、上記の回避策を導入することが主な対策となる。
【ステータス】
Mozilla Foundationはできる限り早急にパッチをリリースすると述べている。それまでは上述の回避策を講じ、脆弱性によるリスクを緩和させることができる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。