セキュリティ欠陥を修正するFirefox 3.5.2と3.0.14をMozillaがリリース 2009年9月10日
セキュリティ欠陥を修正するFirefox 3.5.2 と3.0.14 をMozillaがリリース
危険度:中
2009年9月10日
【概要】
【詳細】
Mozilla Foundationは米国時間の9月9日、人気のウェブ・ブラウザFirefox のバージョン3.5.3をリリースし、少なくても10件のセキュリティ問題を修正した(CVE-IDの情報)。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題3件を修正するFirefoxバージョン3.0.14もリリースしている。次に、Firefox 3.5.xの脆弱性をいくつか取り上げ概要を説明する。
【対策】
MozillaはFirefox 3.5をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.3をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされているが(詳細についてはこちらを参照)、Firefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
ダウンロード先:
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.3をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年9月10日
【概要】
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.5.2までのバージョン - 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある - 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる - 対策:
Firefox 3.5.3(又はレガシーFirefox3.0.14)にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の9月9日、人気のウェブ・ブラウザFirefox のバージョン3.5.3をリリースし、少なくても10件のセキュリティ問題を修正した(CVE-IDの情報)。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題3件を修正するFirefoxバージョン3.0.14もリリースしている。次に、Firefox 3.5.xの脆弱性をいくつか取り上げ概要を説明する。
- メモリ破損の問題
(2009-047)
このアップデートでは、少なくともFirefoxをクラッシュさせることができるメモリ破損問題7件を修正している。Mozillaのアラートは、こうしたメモリ破損の欠陥について幾分は説明しているが、この欠陥はFirefoxのブラウザとJavascriptエンジンに起因すると述べている。また、攻撃者の動き次第で、任意コードを実行するために被害者のコンピュータでメモリ破損問題が悪用される可能性があるとMozillaは推測している。攻撃者は欠陥を悪用する際、まず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かった場合、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができる。また、ユーザにローカル管理者の特権がある場合やルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価: 緊急
- FeedWriter
でChrome特権昇格問題 (2009-051)
Firefoxは特権昇格でウェブページからスクリプトを許可してしまう脆弱性の影響を受けている。リモート攻撃者は悪質なウェブサイトにユーザを誘導し、FirefoxがBrowserFeedWriterオブジェクトの実行に関与する欠陥を悪用し、FirefoxのChrome特権を備えた状態でユーザのコンピュータでコードを実行できるようになる。Mozillaによると、Chrome特権を備えた状態で実行するコードは、いくつも制限が掛けられている通常のウェブコンテンツとは異なり、何でも実行することができるという。つまり、攻撃者はこの欠陥を悪用してユーザと同じコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者は欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性がある。
Mozilla による評価: 緊急
- ロケーション・バーの偽造問題 (2009-050)
Firefoxは攻撃者が被害者をフィッシング攻撃に掛ける際に役立つ脆弱性の影響を受けている。この欠陥は、攻撃者が偽造URLを使ってFirefoxでウェブページを開くことを可能にし、細工された悪質なウェブページをユーザが訪れた場合Firefoxが正当なウェブページのURLを表示するように強いることができる。例えば、ユーザが悪質なページにやって来た場合でも、有名な銀行のウェブサイトのURLをFirefoxに表示させることが可能になる。しかし、実際には攻撃者がそのページをコントロールしており、攻撃を通じてユーザの銀行のサイトで使うクレデンシャルを攻撃者は収集することができる。但し、この脆弱性はSSL保護されているウェブサイトに接続した際に表示される錠前のアイコンを攻撃者が偽造することは許可しないので、アイコンに注意することがフィッシング攻撃に気付くヒントになる。
Mozilla による評価: 低
【対策】
MozillaはFirefox 3.5をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.3をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされているが(詳細についてはこちらを参照)、Firefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
ダウンロード先:
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.3をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。