Firefoxのアップデート版が8つのセキュリティ欠陥を修正 2009年2月4日
Firefoxのアップデート版が8つのセキュリティ欠陥を修正
危険度: 中
2009年2月4日
【概要】
対象:
Windows、Linux、Macintosh対象のFirefox 3.0.5
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
Firefox3.0.6にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の2月3日、人気のウェブ・ブラウザFirefoxのバージョン3.0.6をリリースし約8件のセキュリティ問題を修正した(CVE-IDの情報)。詳細は次の通り。
このアップデートが修正する脆弱性のリストについてはMozillaのKnown Vulnerabilities ページを参照することをすすめる。
【対策】
MozillaはFirefox 3をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.0.6をダウンロードし導入することをすすめる。また、1.5.x および2.x ユーザは3.0.6に移行することをすすめる。
Firefoxバージョン3.0.6ダウンロード先
(注意)
最新バージョンであるFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.0.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
Firefox 3.0.6のリリースノート
セキュリティ欠陥を修正したFirefox 3.0.6
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 中
2009年2月4日
【概要】
対象:
Windows、Linux、Macintosh対象のFirefox 3.0.5
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
Firefox3.0.6にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の2月3日、人気のウェブ・ブラウザFirefoxのバージョン3.0.6をリリースし約8件のセキュリティ問題を修正した(CVE-IDの情報)。詳細は次の通り。
- メモリ破壊の問題(2009-001)
- クロームXBLメソッドのXSSセキュリティ脆弱性(2009-002)
- セッションストアに見られるXSSセキュリティ脆弱性(2009-003)
Firefoxはメモリ破壊に繋がるクラッシュバグの影響をいくつか受けている。Mozillaのアラートは、こうしたメモリ破壊の欠陥について詳しく説明していないが、Firefoxのレイアウト・エンジンとJavascriptエンジンに関与するとは述べている(その他のMozillaベース製品への影響もある)。また、攻撃者の動き次第で、任意コードを実行するために被害者のコンピュータでメモリ破壊問題が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまずユーザを有害なウェブページに誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができる。また、ユーザにローカル管理者の権限がある場合やルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価: 緊急
Firefox は特定のメソッド(クロームXBLメソッド)を処理する方法に関与するクロスサイト・スクリプティング(XSS)問題の影響を受けている。攻撃者は、細工した有害なリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、同一生成限ポリシーを迂回することができる。また、これは特に攻撃者が正当なウェブサイトの状況下でスクリプトを実行したり、正常なサイトからデータを読み取ったりすることができるようにする。例えばユーザが機密データを保管する安全なウェブサイトを訪れた場合に、攻撃者がこの欠陥を利用してその機密データを盗むこともありえる。
Mozilla による評価: 高
バージョン2.x以降、Firefoxには現行セッションのブラウザ・セッションデータを保存するセッションストア機能が搭載されている。例えば複数のウェブサイトをいくつものタブで開いていてFirefoxがクラッシュした場合、Firefoxが再び立ち上がる時にクラッシュしたタブ全てを元の状態に戻るようにすることができる。しかし残念ながら、Firefoxは閉じられたタブをセッションストアが元に戻す方法に関与する複雑なセキュリティ問題の影響を受けている。ターゲットとしたファイルの場所を攻撃者が知っていて、Firefoxのタブを閉じてそれを復旧させるようにユーザを誘導することができる場合、攻撃者はこの脆弱性を悪用してユーザのコンピュータにあるファイルを何でも盗むことができるようになる。
Mozilla による評価:高
このアップデートが修正する脆弱性のリストについてはMozillaのKnown Vulnerabilities ページを参照することをすすめる。
【対策】
MozillaはFirefox 3をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.0.6をダウンロードし導入することをすすめる。また、1.5.x および2.x ユーザは3.0.6に移行することをすすめる。
Firefoxバージョン3.0.6ダウンロード先
(注意)
最新バージョンであるFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.0.6をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
Firefox 3.0.6のリリースノート
セキュリティ欠陥を修正したFirefox 3.0.6
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。