Firefox 3の脆弱性トリオ 2008年7月17日
Firefox 3の脆弱性トリオ
危険度:中
2008年7月17日
【概要】
対象:
Windows、Linux、Mac 対象の Firefox 2.0.0.15および3.0バージョン
攻撃方法:
細工したウェブページにユーザーを誘導するなど様々な攻撃方法がある。
影響:
様々な結果があるが最悪の場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる。
対策:
Firefox 2.0.0.16 または 3.0.1にアップグレードすること。
【詳細】
CVE-IDの情報によると、米国時間の7月16日遅くMozilla Foundation(モジラ・ファウンデーション)は人気のウェブ・ブラウザーFirefox 3.0.1とFirefox 2.0.0.16をリリースし、セキュリティ問題3件を修正した。詳細は次の通り。
【対策】
モジラはFirefox 2と3をアップデートすることで、このセキュリティ問題を修正している。ネットワークでFirefoxを使用している場合は、できる限り早急に3.0.1バージョンをダウンロードし、インストールすることを勧める。モジラはFirefoxバージョン1.5.x系列のサポートを打ち切っているため、バージョン1.5.xを使用しているユーザーはバージョン3.0.1に移行することを勧める。
【ダウンロード先:日本語版】
・ Firefox 3.0.1
Firefox 2を好んで使用している場合は、修正バージョンを(2.0.0.16)ダウンロードすることができる。
注意:最新バージョンのFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザーに通知するようになっている。モジラがアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強く勧める。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニュー欄では、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザーに知らせるようにするなど、好みに合わせて設定することができる。
ウォッチガード・ユーザー:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザーがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、上記のパッチを導入することが主な対策となる。
【ステータス】
モジラ・ファウンデーションはFirefox 3.0.1と2.0.0.16をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
・Firefox 3.0.1
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
ご感想・リクエストは日本語でyour.opinion.matters@watchguard.comまでご連絡下さい。
危険度:中
2008年7月17日
【概要】
対象:
Windows、Linux、Mac 対象の Firefox 2.0.0.15および3.0バージョン
攻撃方法:
細工したウェブページにユーザーを誘導するなど様々な攻撃方法がある。
影響:
様々な結果があるが最悪の場合、攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる。
対策:
Firefox 2.0.0.16 または 3.0.1にアップグレードすること。
【詳細】
CVE-IDの情報によると、米国時間の7月16日遅くMozilla Foundation(モジラ・ファウンデーション)は人気のウェブ・ブラウザーFirefox 3.0.1とFirefox 2.0.0.16をリリースし、セキュリティ問題3件を修正した。詳細は次の通り。
- CSSリファレンス・カウンターのオーバーフロー問題:2008-034
Firefoxは内部データ・ストラクチャー(CSSValue配列)に関与する脆弱性の影響を受けている。モジラはCSSオブジェクトのリファレンス・カウンターとして使われる変数に充分なサイズを使用していなかった。このため、攻撃者はCSSオブジェクトに対して大規模な数のリファレンスを作成するウェブページにユーザーを誘導することで脆弱性を悪用し、特定の変数をオーバーフローさせてメモリー破壊を引き起こす。そうすると、攻撃者はこのメモリー破壊を利用してFirefoxをクラッシュさせたり、ユーザーの権限を備えた上で、そのユーザーのマシーンでコードを実行することができるようになる。ユーザーの権限レベルにもよるが、攻撃者はこの欠陥を悪用してユーザーのコンピューターを完全に操作することができる。
モジラによるこの問題の評価:重要
- インターネットに接続しているアプリケーションが複数のタブでFirefoxをスタート:2008-035
モジラのアラートは実社会ではおそらく攻撃者が悪用しにくいと思われる、実に入り組んだFirefoxの脆弱性について説明している。ごく簡単に言うと、攻撃者はインターネットに接続している他のアプリケーションがFirefoxをスタートできるようにし、複数のタブを開くように強制することができる。Firefoxは外部のアプリケーションが、特定のタイプのURIがロードしないように阻止するはずなのだが、 攻撃者はこの脆弱性を悪用してFirefoxが通常では処理しないURIに対処するよう強いることができる。攻撃者は他のウェブ・ブラウザーで細工したリンクをユーザーにクリックさせるように誘導し、この欠陥を悪用してユーザーのディスクにあるデータを読み取ったり、ユーザーのコンピューターでコードを実行したりする可能性がある。ユーザーにローカル管理者の権限がある場合、攻撃者はこの欠陥を悪用してユーザーのマシーンを完全に操作することができるようになる。しかし、ユーザーがFirefoxをインストールしているがそれを実行しておらず、別のブラウザーを使って悪性のリンクをクリックしたりウェブページに行く場合や、別のインターネットに接続しているアプリケーションを経由した場合においてのみ、攻撃者はこの欠陥を利用することができる点に注意しよう。この複雑な脆弱性の詳細についてはモジラのアドバイザリーを参照することを勧める。
モジラによるこの問題の評価:重要
- GIFイメージ処理の脆弱性:2008-036
Firefoxは、細工された不正のGIFイメージを解析する方法に関与する脆弱性の影響を受けている。攻撃者は悪性のGIFイメージを含むウェブページにユーザーを誘導すると、この欠陥を悪用してユーザーの権限を獲得し、そのユーザーのコンピューターでコードを実行できるようになる。この欠陥はOS Xコンピューターで使用しているFirefox 3にのみ影響を及ぼす。OS Xは通常のユーザー権限と管理者の権限を分けているので、攻撃者はこの脆弱性を利用するだけではOS Xコンピューターを完全に操作できるようにはならない。
モジラによるこの問題の評価:重要
【対策】
モジラはFirefox 2と3をアップデートすることで、このセキュリティ問題を修正している。ネットワークでFirefoxを使用している場合は、できる限り早急に3.0.1バージョンをダウンロードし、インストールすることを勧める。モジラはFirefoxバージョン1.5.x系列のサポートを打ち切っているため、バージョン1.5.xを使用しているユーザーはバージョン3.0.1に移行することを勧める。
【ダウンロード先:日本語版】
・ Firefox 3.0.1
Firefox 2を好んで使用している場合は、修正バージョンを(2.0.0.16)ダウンロードすることができる。
注意:最新バージョンのFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザーに通知するようになっている。モジラがアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強く勧める。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニュー欄では、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザーに知らせるようにするなど、好みに合わせて設定することができる。
ウォッチガード・ユーザー:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザーがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、上記のパッチを導入することが主な対策となる。
【ステータス】
モジラ・ファウンデーションはFirefox 3.0.1と2.0.0.16をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
・Firefox 3.0.1
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
ご感想・リクエストは日本語でyour.opinion.matters@watchguard.comまでご連絡下さい。