Mozillaが15の脆弱性を修正するFirefox 3.5.4と3.0.15をリリース 2009年10月30日
Mozillaが15の脆弱性を修正するFirefox 3.5.4と3.0.15をリリース
危険度:中
2009年10月29日
【概要】
対象:
Firefox 3.5.3(Windows/Linux/Macintosh対象)
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
Firefox 3.5.4(又はレガシーFirefox3.0.15)にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の10月28日、人気のウェブ・ブラウザFirefox のバージョン3.5.4をリリースし、少なくても15件(CVE-IDの情報)のセキュリティ問題を修正した。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題を修正するFirefoxバージョン3.0.15もリリースしている。Firefox 3.5.xの脆弱性を次にいくつか説明する。
メモリ破壊の問題 (2009-064)
このアップデートでは、少なくともFirefoxをクラッシュさせることができるメモリ破損問題4件が修正されている。Mozillaのアラートは、このようなメモリ破損の欠陥についていくらか説明しているが、これはFirefoxのブラウザとJavascriptエンジンにあると述べている。また、攻撃者の動き次第で任意コードが実行されるため、被害者のコンピュータでメモリ破損の欠陥が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができるようになる。また、ユーザがローカル管理者であったりルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価: 緊急
第三者のメディア・レンダリング・ライブラリの脆弱性 (2009-063)
Mozillaは第三者によるメディア・レンダリング・ライブラリ3つをアップデートすることで、未特定のメモリ安全性と安定性のバグに取り組んだ。リモート攻撃者は悪質なウェブサイトにユーザを誘導してメモリ安全性の欠陥を悪用し、ユーザの権限を獲得した状態でそのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はそうした欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性がある。
Mozilla による評価: 緊急
GIFパーサーのバッファ・オーバーフロー問題 (2009-056)
FirefoxはGIFイメージ・パーサーに関与するバッファ・オーバーフロー問題の影響を受けている。リモート攻撃者は、細工したGIFイメージを入れた悪質なウェブサイトにユーザを誘導すると、脆弱性を悪用しユーザの権限を備えた状態で、そのユーザのコンピュータでコードを実行できるようになる可能性がある。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
Mozillaのアラートにはその他の脆弱性についても説明されており、中には深刻な問題もある。3.5.4アップデート版が修正する脆弱性のリストについては、Mozillaの既知の問題を掲載したページを参照することをすすめる。また、3.0.15での修正事項を確認するには、3.0 の既知の問題に関するページを参照すること。
【対策】
MozillaはFirefox 3.5をアップデートし、こうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.4をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。 (Mozillaの日本語サイト)
注意:
最新バージョンのFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.4をリリースし、セキュリティ問題を修正している。
【参考資料】
Mozillaの日本語サイト
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年10月29日
【概要】
対象:
Firefox 3.5.3(Windows/Linux/Macintosh対象)
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
Firefox 3.5.4(又はレガシーFirefox3.0.15)にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の10月28日、人気のウェブ・ブラウザFirefox のバージョン3.5.4をリリースし、少なくても15件(CVE-IDの情報)のセキュリティ問題を修正した。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題を修正するFirefoxバージョン3.0.15もリリースしている。Firefox 3.5.xの脆弱性を次にいくつか説明する。
メモリ破壊の問題 (2009-064)
このアップデートでは、少なくともFirefoxをクラッシュさせることができるメモリ破損問題4件が修正されている。Mozillaのアラートは、このようなメモリ破損の欠陥についていくらか説明しているが、これはFirefoxのブラウザとJavascriptエンジンにあると述べている。また、攻撃者の動き次第で任意コードが実行されるため、被害者のコンピュータでメモリ破損の欠陥が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないが、ユーザがその罠に掛かると攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができるようになる。また、ユーザがローカル管理者であったりルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価: 緊急
第三者のメディア・レンダリング・ライブラリの脆弱性 (2009-063)
Mozillaは第三者によるメディア・レンダリング・ライブラリ3つをアップデートすることで、未特定のメモリ安全性と安定性のバグに取り組んだ。リモート攻撃者は悪質なウェブサイトにユーザを誘導してメモリ安全性の欠陥を悪用し、ユーザの権限を獲得した状態でそのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はそうした欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性がある。
Mozilla による評価: 緊急
GIFパーサーのバッファ・オーバーフロー問題 (2009-056)
FirefoxはGIFイメージ・パーサーに関与するバッファ・オーバーフロー問題の影響を受けている。リモート攻撃者は、細工したGIFイメージを入れた悪質なウェブサイトにユーザを誘導すると、脆弱性を悪用しユーザの権限を備えた状態で、そのユーザのコンピュータでコードを実行できるようになる可能性がある。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
Mozillaのアラートにはその他の脆弱性についても説明されており、中には深刻な問題もある。3.5.4アップデート版が修正する脆弱性のリストについては、Mozillaの既知の問題を掲載したページを参照することをすすめる。また、3.0.15での修正事項を確認するには、3.0 の既知の問題に関するページを参照すること。
【対策】
MozillaはFirefox 3.5をアップデートし、こうした問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.4をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。 (Mozillaの日本語サイト)
注意:
最新バージョンのFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
【全ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.4をリリースし、セキュリティ問題を修正している。
【参考資料】
Mozillaの日本語サイト
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。