Firefox 2.0.0.12、セキュリティ問題(10件)を修正2008年2月8日
Firefox 2.0.0.12、セキュリティ問題(10件)を修正
危険度: 中
2008年2月8日
【概要】
・対象
ウィンドウズ、Linux、Macで使用しているFirefox 2.0.0.x
・悪用法
細工したウェブ・ページにユーザーを誘い込むなど、複数の攻撃方法あり。
・影響
様々な結果あり。最悪の場合、攻撃者はユーザーのコンピューターでコードを実行し、そのマシーンを完全にコントロールすることができる。
・対策
Firefox 2.0.0.12にアップグレードすること。
【問題の詳細】
米国時間の2月7日、Mozilla Foundation(モジラ・ファウンデーション)は、人気のある同社のFirefoxウェブ・ブラウザー、Firefox 2.0.0.12をリリースした。このバージョンでは、セキュリティ問題(10件)が修正されている。中でも重要なセキュリティ問題3つの概要については、次のリストを参照することをすすめる。
- メモリー破壊の脆弱性(2008-001)
Firefoxは、メモリーを破壊する複数の未特定クラッシュ・バグの影響を受けている。 努力によっては、攻撃者はこうしたメモリー破壊の欠陥を悪用し、任意コードを実行することができるとモジラは推定している。 攻撃者は、この欠陥を悪用するにおいて、まず細工したウェブページにユーザーを招き寄せなければならない。 ユーザーがその罠に掛かると、攻撃者はユーザーの権限を得た状態で、そのユーザーのコンピューターでコードを実行することができる。 ユーザーがローカル管理者だった場合や、ルート権限が付いていた場合、攻撃者は被害者のコンピューターを完全にコントロールすることが可能になる。
- ウェブ・ブラウザーの履歴と転送ナビを盗み出す問題(2008-06)
Firefoxは、細工されたウェブ・ページからユーザーが移動する場合において、画像を処理する方法に関与する、未特定のセキュリティ問題の影響を受けている。 細工したウェブ・ページにユーザーを誘い込むことで(ユーザーはそのページから後に移動)、攻撃者はこの問題を悪用し、ユーザーのナビ履歴や転送情報を盗んだり、Firefoxをクラッシュさせたりする。 さらに、Firefoxがクラッシュするとメモリーも破壊されてしまう。
攻撃者の努力によるが、攻撃者はこうしたメモリー破壊の欠陥を悪用し被害者の権限を備えた上で、そのユーザーのマシーンで任意コードを実行することも可能だ。場合によっては、攻撃者がユーザーのコンピューターを完全にコントロールすることもできる、とモジラは推定している。
- Firefox拡張子に関与するディレクトリー・トラバーサルの問題(2008-05)
モジラは、ライブセキュリティが1月31日の「Wire Post」で報告したゼロデイ問題を修正した。 特定の方法でパッケージされた拡張子を処理する際、Firefoxはエスケープしなかった文字列を正しく処理せず、そうした拡張子を被害者がインストールしており、攻撃者が細工したウェブ・ページに被害者を誘い込むことに成功すると、攻撃者はディレクトリー・トラバーサルでこの欠陥を悪用し、標的のコンピューターにある特定のファイル情報を盗むことができるようになる。 更に具体的に説明すると、攻撃者はこの欠陥を悪用しセッションIDやクッキーなど、現状のウェブ・セッションの詳細情報を含むFirefoxの「sessionstore.js」ファイルを読み取ることができる。 攻撃者は、この情報を利用してユーザーのウェブ・セッションをハイジャックに役立たせることができる。
その他のセキュリティ問題としては、権限の昇格、クロスサイト・スクリプティング(XSS)、情報開示など、他にも様々な問題がある。 詳細については、Firefoxの既知の問題について説明したページ(英語)を参照することをすすめる。しかし、先に説明した問題だけでもFirefoxを修正バージョンにアップグレードするには充分な理由となるだろう。
【対策】
モジラは、こうしたセキュリティ問題を修正したFirefoxのアップデート版をリリースしている。 ネットワークでFirefoxを使用している場合は、できる限り早急にバージョン2.0.0.12をダウンロードし、導入することをすすめる。 モジラはFirefoxバージョン1.5.x系列のサポートを打ち切っているため、 バージョン1.5.xを使用しているユーザーは、バージョン2.0.0.12に移行することをすすめる。
ダウンロード先(日本語版)
注意: 最新バージョンのFirefox 2.0は、Firefoxのアップデートが入手可能になると自動的にユーザーに通知するようになっている。 モジラがアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。 自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→Options(オプション)→Advanced Tab(アドバンス・タブ)→Update Tab(アップデート・タブ)でできる。 Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。 このメニュー欄では、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザーに知らせるようにするなど、好みに合わせて設定することができる。
ファイアウォール管理者:
この脆弱性を悪用した攻撃の中には、通常のHTTPトラフィックを装うものもある。HTTPトラフィックは、ネットワーク上のユーザーがウェブ(ワールド・ワイド・ウェブ、略してWWW)にアクセスするには許可しておかなければならないものであるため、先に述べた修正プログラムを取り入れることが主な対策となる。
【ステータス】
モジラ・ファウンデーションは、セキュリティ問題を修正したFirefox 2.0.0.12をリリースしている。
【参考資料】
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。