思いがけなくリリースされたFirefox 3.6.3 Pwn2Own ゼロデイを修正 2010年4月5日
思いがけなくリリースされたFirefox 3.6.3
Pwn2Own ゼロデイを修正
危険度:中
2010年4月5日
概要:
詳細:
Firefox 3.6.2をリリースした数週間後、Mozillaは緊急でFirefoxのアップデートをリリースした。そのバージョンでは、有名なセキュリティ会議で行われたハッキングコンテストで開示されたゼロデイの脆弱性を修正している。
先週の金曜にリリースされたこのFirefox 3.6.3が修正したセキュリティ脆弱性(1件)は、自称"Nils"という研究者が CanSecWest Pwn2OwnコンテストでFirefoxを入れたノートパソコンをハイジャックするために使用した脆弱性を修正している。
NilsはFirefox 3.6でメモリ破損の脆弱性を発見した。つまり、Firefoxが過去にメモリから解放したはずのオブジェクトを再利用する可能性に、その脆弱性は関与している。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態でユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったりルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。この欠陥の詳細について知りたければ、Firefox 3.6.x Known Vulnerabilities ページにあるMozilla's 2010-25 セキュリティアドバイザリを参照することをすすめる。
Pwn2Ownコンテストで勝利を納めるにあたり、"Nils"のような研究者達はTipping Pointの「 Zero Day Initiative」に、これまでにリリースされていない脆弱性を開示しなければならない。TippingPointはベンダが問題に対応するパッチを出すまで、攻撃の詳細は開示しないようになっているのだが、今回Mozillaがパッチを用意したことにより、攻撃者達はこの欠陥を解析して模倣、つまりリバースエンジニアリングをすることが可能になった。そのため、Firefoxの利用者はできる限り早急に3.6.3バージョンをインストールすることをすすめる。
対策:
MozillaはFirefox 3.6.3をアップデートし、このPwn2Own セキュリティ問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.3をダウンロードし導入することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先述のパッチをインストールすることが主な対策となる。
ステータス:
MozillaはFirefox 3.6.3をリリースし、FirefoxのPwn2Ownを修正している。
参考資料:
Pwn2Own ゼロデイを修正
危険度:中
2010年4月5日
概要:
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.6.2
- 攻撃方法:
悪性のウェブ・ページにユーザを誘導する
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
Firefox 3.6.3にアップグレードすること
詳細:
Firefox 3.6.2をリリースした数週間後、Mozillaは緊急でFirefoxのアップデートをリリースした。そのバージョンでは、有名なセキュリティ会議で行われたハッキングコンテストで開示されたゼロデイの脆弱性を修正している。
先週の金曜にリリースされたこのFirefox 3.6.3が修正したセキュリティ脆弱性(1件)は、自称"Nils"という研究者が CanSecWest Pwn2OwnコンテストでFirefoxを入れたノートパソコンをハイジャックするために使用した脆弱性を修正している。
NilsはFirefox 3.6でメモリ破損の脆弱性を発見した。つまり、Firefoxが過去にメモリから解放したはずのオブジェクトを再利用する可能性に、その脆弱性は関与している。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態でユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったりルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。この欠陥の詳細について知りたければ、Firefox 3.6.x Known Vulnerabilities ページにあるMozilla's 2010-25 セキュリティアドバイザリを参照することをすすめる。
Pwn2Ownコンテストで勝利を納めるにあたり、"Nils"のような研究者達はTipping Pointの「 Zero Day Initiative」に、これまでにリリースされていない脆弱性を開示しなければならない。TippingPointはベンダが問題に対応するパッチを出すまで、攻撃の詳細は開示しないようになっているのだが、今回Mozillaがパッチを用意したことにより、攻撃者達はこの欠陥を解析して模倣、つまりリバースエンジニアリングをすることが可能になった。そのため、Firefoxの利用者はできる限り早急に3.6.3バージョンをインストールすることをすすめる。
対策:
MozillaはFirefox 3.6.3をアップデートし、このPwn2Own セキュリティ問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.3をダウンロードし導入することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先述のパッチをインストールすることが主な対策となる。
ステータス:
MozillaはFirefox 3.6.3をリリースし、FirefoxのPwn2Ownを修正している。
参考資料: