Firefox 3.0.9が12件の脆弱性を修正 2009年4月22日
Firefox 3.0.9が12件の脆弱性を修正
危険度:中
2009年4月22日
【概要】
対象:
Windows、Linux、Macintosh用のFirefox 3.0.8(および、それ以前のバージョン)
攻撃方法:
悪質なウェブサイトにユーザを誘導したりするなど、攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
Firefox 3.0.9へアップグレードすること
【詳細】
米国時間の4月22日、Mozilla FoundationはFirefox 3.0.9をリリースした。このリリースは12件の脆弱性を修正している。(件数はCVE-IDに基づく)重要な脆弱性修正の概要を説明する。
メモリ破壊の脆弱性(2009-014)
Firefoxは4件のクラッシュバグがあり、その結果、メモリが破壊される可能性がある。Mozillaのアラートにはこれらのメモリ破壊問題の詳細はあまり書かれていないが、FirefoxブラウザとJavascriptエンジンに欠点があると認めている。この欠点は、他のThunderbirdなど他のMozillaベースの製品にも影響している。Mozillaによると、攻撃者はこのメモリ破壊の脆弱性を悪用し、被害者のコンピュータ上でコードを実行できる。そのために、攻撃者はまずユーザを加工されたウェブサイトに誘導する必要がある。ユーザがそのようなサイトへ訪問してしまった場合、そのユーザの権限でマシン上に悪性コードを実行することができる。もしそのユーザが、ローカルの管理者またはルート権限を保持していた場合、攻撃者が被害コンピュータを完全にコントロールすることができる。
Mozilla影響レベル:緊急
複数の同タイプの脆弱性(2009-017および2009-019)
Firefoxは、技術的には異なるが、二件の同じようなタイプの脆弱性がある。一件は、Adobe Flashのプラグインが関連しており、もう一件は具体的なHTMLオブジェクトと機能に関連している。攻撃者はこれらの脆弱性を同じように悪用し、クロスサイトスクリプティング(XSS)攻撃、またはクロスサイトリクエストフォージェリ (CSRF) 攻撃を行うことができる。これらの攻撃によって、攻撃者は合法に見えるウェブサイト、または合法なウェブサイトのデータを読み込んだような形で悪意のあるスクリプトを実行することができるようになる。例えば、もしユーザが機密情報を保存しているセキュアなウェブサイトを訪問した場合、攻撃者がこの脆弱性を使って、その機密情報を盗むことが可能となる。ただし、その前に、ユーザを悪意のあるウェブサイトへ誘導したり、加工されたリンクをクリックするように誘導しなければ、このような攻撃が成功することはできない。
Mozilla影響レベル:重要
今回のリリースで修正された全12件の脆弱性の情報については、Mozillaのページを参照すること。
【対策】
MozillaはFirefox 3をアップデートし、これらの脆弱性を修正している。ネットワーク上でFirefoxを利用している場合、3.0.9へ至急アップグレードすることを推奨する。また、1.5.xおよび2.xのユーザも3.0.9へ移行することを勧める。
Windows
Linux
Mac OS X
尚、Firefox 3.0の最新版は、Firefoxのアップデートを自動的にチェックする機能がある。この機能を利用し、FirefoxのアップデートがMozillaからリリースされ次第、告知されることを強く推奨する。Firefoxが自動的にアップデートをチェックするには、ツールバーの「ツール」→「オプションズ」→「アドバンス」→「アップデート」のタブを確認し、「自動的にアップデートをチェックする」がチェックされていることを確認すること。このメニューからFirefoxが常に自動的にアップデートをダウンロードしインストールする、またはアップデートが出されたことを告知するのみ、などを選ぶことができる。
これらの攻撃は通常のHTTPトラフィックを装っているので、ネットワークユーザがインターネットへのアクセスが必要であれば、ファイアウォールでブロックすることができない。従って、このようなパッチが最適なソリューションであるだろう。
【ステータス】
Mozilla Foundationは問題を修正するFirefox 3.0.9をリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。
危険度:中
2009年4月22日
【概要】
対象:
Windows、Linux、Macintosh用のFirefox 3.0.8(および、それ以前のバージョン)
攻撃方法:
悪質なウェブサイトにユーザを誘導したりするなど、攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのコンピュータを完全に操作できるようになる
対策:
Firefox 3.0.9へアップグレードすること
【詳細】
米国時間の4月22日、Mozilla FoundationはFirefox 3.0.9をリリースした。このリリースは12件の脆弱性を修正している。(件数はCVE-IDに基づく)重要な脆弱性修正の概要を説明する。
メモリ破壊の脆弱性(2009-014)
Firefoxは4件のクラッシュバグがあり、その結果、メモリが破壊される可能性がある。Mozillaのアラートにはこれらのメモリ破壊問題の詳細はあまり書かれていないが、FirefoxブラウザとJavascriptエンジンに欠点があると認めている。この欠点は、他のThunderbirdなど他のMozillaベースの製品にも影響している。Mozillaによると、攻撃者はこのメモリ破壊の脆弱性を悪用し、被害者のコンピュータ上でコードを実行できる。そのために、攻撃者はまずユーザを加工されたウェブサイトに誘導する必要がある。ユーザがそのようなサイトへ訪問してしまった場合、そのユーザの権限でマシン上に悪性コードを実行することができる。もしそのユーザが、ローカルの管理者またはルート権限を保持していた場合、攻撃者が被害コンピュータを完全にコントロールすることができる。
Mozilla影響レベル:緊急
複数の同タイプの脆弱性(2009-017および2009-019)
Firefoxは、技術的には異なるが、二件の同じようなタイプの脆弱性がある。一件は、Adobe Flashのプラグインが関連しており、もう一件は具体的なHTMLオブジェクトと機能に関連している。攻撃者はこれらの脆弱性を同じように悪用し、クロスサイトスクリプティング(XSS)攻撃、またはクロスサイトリクエストフォージェリ (CSRF) 攻撃を行うことができる。これらの攻撃によって、攻撃者は合法に見えるウェブサイト、または合法なウェブサイトのデータを読み込んだような形で悪意のあるスクリプトを実行することができるようになる。例えば、もしユーザが機密情報を保存しているセキュアなウェブサイトを訪問した場合、攻撃者がこの脆弱性を使って、その機密情報を盗むことが可能となる。ただし、その前に、ユーザを悪意のあるウェブサイトへ誘導したり、加工されたリンクをクリックするように誘導しなければ、このような攻撃が成功することはできない。
Mozilla影響レベル:重要
今回のリリースで修正された全12件の脆弱性の情報については、Mozillaのページを参照すること。
【対策】
MozillaはFirefox 3をアップデートし、これらの脆弱性を修正している。ネットワーク上でFirefoxを利用している場合、3.0.9へ至急アップグレードすることを推奨する。また、1.5.xおよび2.xのユーザも3.0.9へ移行することを勧める。
Windows
Linux
Mac OS X
尚、Firefox 3.0の最新版は、Firefoxのアップデートを自動的にチェックする機能がある。この機能を利用し、FirefoxのアップデートがMozillaからリリースされ次第、告知されることを強く推奨する。Firefoxが自動的にアップデートをチェックするには、ツールバーの「ツール」→「オプションズ」→「アドバンス」→「アップデート」のタブを確認し、「自動的にアップデートをチェックする」がチェックされていることを確認すること。このメニューからFirefoxが常に自動的にアップデートをダウンロードしインストールする、またはアップデートが出されたことを告知するのみ、などを選ぶことができる。
これらの攻撃は通常のHTTPトラフィックを装っているので、ネットワークユーザがインターネットへのアクセスが必要であれば、ファイアウォールでブロックすることができない。従って、このようなパッチが最適なソリューションであるだろう。
【ステータス】
Mozilla Foundationは問題を修正するFirefox 3.0.9をリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。