Mozilla、セキュリティ欠陥を修正するFirefox 3.5.2と3.0.13 をリリース 2009年8月5日
Mozilla、セキュリティ欠陥を修正するFirefox 3.5.2と3.0.13 をリリース
危険度:中
2009年8月5日
【概要】
【詳細】
Mozilla Foundationは米国時間の8月4日、人気のウェブ・ブラウザFirefox のバージョン3.5.2をリリースし、少なくても4件のセキュリティ問題を修正した(CVE-IDの情報)。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題3件を修正するFirefoxバージョン3.0.13もリリースしている。Firefox 3.5.xの脆弱性いくつかの概要は次の通り。
3.5.2アップデートが修正する脆弱性のリストについては、MozillaのKnown Vulnerabilities ページを参照することをすすめる。3.0.13については3.0 の既知の問題に関するページを参照すること。こうしたフィックスは、先日開催されたブラック・ハット・セキュリティ・コンフィレンスでダン・カミンスキー氏やその他のセキュリティ研究者達が報告したSSL脆弱性問題に関与している。Mozillaはこの種の脆弱性の多くを3.5オリジナル・バージョンですでに修正している。このため、バージョン3.0.xを使用している場合は、できる限り早急に3.5.xにアップデートすることを勧める。
【対策】
MozillaはFirefox 3.5をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.2をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている(詳細についてはこちらを参照)。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.2をリリースし、セキュリティ問題を修正している。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年8月5日
【概要】
- 対象:
Windows、Linux、Macintosh対象のFirefox 3.5.1
- 攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
Firefox 3.5.2 にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の8月4日、人気のウェブ・ブラウザFirefox のバージョン3.5.2をリリースし、少なくても4件のセキュリティ問題を修正した(CVE-IDの情報)。また、その他にFirefoxのレガシー・バージョンに見られるセキュリティ問題3件を修正するFirefoxバージョン3.0.13もリリースしている。Firefox 3.5.xの脆弱性いくつかの概要は次の通り。
- メモリ破壊の問題 (2009-045)
このアップデートでは、少なくともFirefoxをクラッシュさせることができるメモリ破壊問題をいくつか修正している。Mozillaのアラートは、こうしたメモリ破壊の欠陥について詳しく説明していないが、FirefoxのJavascriptエンジンに関与するとは述べている。また、攻撃者の動き次第で、任意コードを実行するために被害者のコンピュータでメモリ破壊問題が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないがユーザがその罠に掛かった場合、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができる。また、ユーザにローカル管理者の特権がある場合やルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価: 緊急
- キャッシュしたWrapper(ラッパー)クロームの特権昇格問題
(2009-046)
Firefoxは権限昇格でウェブページからスクリプトを許可してしまう脆弱性の影響を受けている。リモート攻撃者は悪質なウェブサイトにユーザを誘導することで脆弱性を悪用し、Firefoxのクローム特権を備えた状態で、そのユーザのコンピュータでコードを実行できるようになる。Mozillaによると、クローム特権を備えた状態で実行するコードは、いくつも制限が掛けられている通常のウェブコンテンツとは異なり何でも実行することができるという。つまり、攻撃者はこの欠陥を悪用してユーザと同じコードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はこうした欠陥を悪用することでユーザのコンピュータを完全に操作できるようになる可能性がある。
Mozilla による評価: 緊急
- ロケーション・バーとSSLインディケーターの偽造問題 (2009-044)
Firefoxが影響を受けている脆弱性は、攻撃者が偽造したURLとSSLインディケーターの新しいFirefoxタブを開くことができるようにするため、攻撃者が被害者に対してフィッシング攻撃を仕掛ける際に役立つ。攻撃者は、細工したリンクをユーザがクリックするように誘導すると、安全なSSL接続で繋がっている正当なウェブページに見せ掛けた新しいFirefoxタブを開くことができる。例えば、攻撃者は安全なpaypal.comのページに見せ掛けたタブを開くことができる。その場合、実際にはpaypal.comではなく攻撃者がそのページをコントロールしており、攻撃を通じてユーザのクレデンシャルを収集できるようになる。
Mozilla による評価: 中
3.5.2アップデートが修正する脆弱性のリストについては、MozillaのKnown Vulnerabilities ページを参照することをすすめる。3.0.13については3.0 の既知の問題に関するページを参照すること。こうしたフィックスは、先日開催されたブラック・ハット・セキュリティ・コンフィレンスでダン・カミンスキー氏やその他のセキュリティ研究者達が報告したSSL脆弱性問題に関与している。Mozillaはこの種の脆弱性の多くを3.5オリジナル・バージョンですでに修正している。このため、バージョン3.0.xを使用している場合は、できる限り早急に3.5.xにアップデートすることを勧める。
【対策】
MozillaはFirefox 3.5をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.5.2をダウンロードし導入すること。また、Firefoxの3.0.xシリーズ対象のアップデートもリリースされている(詳細についてはこちらを参照)。しかし、使用しているFirefoxを最新バージョンにしておくためにも、3.0.xを使用している場合は3.5.xにアップデートすることを勧める。
注意:
最新バージョンであるFirefox 3.5は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。
自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。この際、Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.5.2をリリースし、セキュリティ問題を修正している。
【参考資料】
- Firefox 3.5.2 リリース・ノート
- Firefox 3.0.13 リリース・ノート
- セキュリティ欠陥を修正したFirefox 3.5.2
- Firefox 3.0.13で修正されたセキュリティ問題
- Mozillaの日本語サイト
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。