Firefox 3.6.x - 初のセキュリティ・アップデート 2010年3月24日
Firefox 3.6.x - 初のセキュリティ・アップデート
危険度:中
2010年3月24日
概要:
詳細:
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6(特に3.6.2バージョン)のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した(数字はCVEによるもの)。この脆弱性は、普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは報告されている脆弱性のうち4件を深刻と評価している。
Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照:
Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング(XSS) の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。
注意:
攻撃者はJavaScriptなしでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがいい方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptもインストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozillaは3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラグインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、3.6.xに移行することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
危険度:中
2010年3月24日
概要:
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.6
- 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
- 影響:
その影響は様々だが最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
Firefox 3.6.2にアップグレードすること
詳細:
Mozilla Foundationは、1月末にFirefoxの新シリーズ・バージョン 3.6をリリースした。そして、Mozillaは今週初めてFirefox 3.6(特に3.6.2バージョン)のセキュリティ・アップデートをリリースし、最新バージョンに影響している脆弱性およそ10件を修正した(数字はCVEによるもの)。この脆弱性は、普通にウェブをブラウズする以外にユーザからのインタラクションを必要とせず、攻撃用コードの実行やソフトウェアのインストールを可能にするため、Mozillaは報告されている脆弱性のうち4件を深刻と評価している。
Firefox 3.xの脆弱性の中でも最も深刻な問題の概要については次を参照:
- WOFF
の整数のオーバーフロー脆弱性 (2010-08)
Firefox 3.6 は圧縮をサポートするダウンロード可能なフォント・フォーマット、ウェブ・オープン・フォント・フォーマット(WOFF)をサポートしている。Firefox のWOFF デコーダーは、ヒープ・メモリ破損の原因となる整数のオーバーフロー問題の影響を受けているため、攻撃者は任意のコードを実行することができる。攻撃者は細工済みのウェブページにユーザを誘導することで欠陥を利用し、Firefoxをクラッシュさせたり有害なコードをユーザの特権を持った状態で、そのユーザのコンピュータで実行することができる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
- 3つのメモリ破損の問題 (2010-11)
このアップデートは、少なくてもFirefoxをクラッシュさせることができるその他3つのメモリ破損問題も修正している。MozillaのアラートはFirefox のブラウザ・エンジンに起因する点について触れているが、詳細については説明されていない。Mozillaは、攻撃者の努力次第でメモリ破損問題をいくつか悪用し、被害者のコンピュータで任意のコードを実行できるだろうと推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した状態で、そのユーザのコンピュータで有害なコードを実行できる。また、ユーザがローカル管理者であったり、ルート特権を持っていた場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
Mozillaのアラートは、その他6つの脆弱性についても説明している。クロスサイト・スクリプティング(XSS) の欠陥、ブラウザ改ざんの欠陥、そしてソーシャル・エンジニアリングの攻撃でフィッシャーの役に立つような問題がある。Firefox 3.6.2で修正している脆弱性リストについては、Mozillaの「Known Vulnerabilities」ページを参照することをすすめる。
注意:
攻撃者はJavaScriptなしでこうした脆弱性を悪用することはできない。様々なウェブベースの脆弱性を阻止するには、JavaScriptをデフォルト設定で無効にしておくのがいい方法といえるだろう。Firefox を使用している場合は、デフォルト設定によりJavascript (およびその他のアクティブ・スクリプト)を無効にするNoScriptもインストールしておくことをすすめる。
【対策】
MozillaはFirefox 3.6.2をアップデートしてこうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.6.2をダウンロードし導入することをすすめる。Mozillaは3.0.x や3.5.xユーザが 3.6.xにアップグレードすることを強く薦めているが、ライブセキュリティもそれには同感だ。新しいバージョンには、期限が切れた安全とはいえないプラグインやエクステンションを検出できるといった新たなセキュリティ機能が含まれているため、旧バージョンのFirefoxを使用している場合は、3.6.xに移行することをすすめる。
注意:
最新バージョンのFirefox 3.6.xは、アップデートが入手可能になると自動的にユーザに通知するようになっている。つまりMozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動アップデート受信が設定されているか確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプションでFirefoxがチェックされていることを確認すること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ対象】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.6.2をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】