Easy management - our secret sauce. Watch the video tour.
HOME > セキュリティ情報 > 加工されたPNGイメージがFirefoxユーザをハイジャック 2009年3月5日

加工されたPNGイメージがFirefoxユーザをハイジャック 2009年3月5日

加工されたPNGイメージがFirefoxユーザをハイジャック

危険度:中

2009年3月5日

【概要】

対象:
Windows、Linux、Macintosh対象のFirefox 3.0.6

攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある

影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策:
Firefox 3.0.7にアップグレードすること

【詳細】

Mozilla Foundationは米国時間の3月4日に、人気のウェブ・ブラウザFirefoxのバージョン3.0.7をリリースし、8件のセキュリティ問題を修正した(CVE-IDの情報)。報告された脆弱性のうち3件の詳細は次の通り。

メモリ破壊の問題 (2009-007)

最近のFirefoxセキュリティ・アラートでは、こういったメモリ破壊の欠陥がよく見られるがFirefoxは、またしてもメモリ破壊に繋がる最低3つのクラッシュバグの影響を受けている。Mozillaのアラートは、こうしたメモリ破壊の欠陥について詳しく説明していないが、Firefoxのレイアウト・エンジンとJavaScriptエンジンに関与するとは述べている(Thunderbirdなどその他のMozillaベース製品への影響もある)。また、攻撃者の動き次第で、任意コードを実行するために被害者のコンピュータでメモリ破壊問題が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまず有害なウェブページにユーザを誘導しなければならないがユーザがその罠に掛かった場合、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータで悪質なコードを実行することができる。また、ユーザにローカル管理者の権限がある場合やルート権限を備えていた場合は、攻撃者が被害者のコンピュータを完全に操作できるようになる。

Mozilla による評価: 緊急

PNGメモリによる脆弱性処理 (2009-010)

PNG(ポータブル・ネットワーク・グラフィック)は様々なコンピュータ・デバイスでサポートされている画像形式の1つだが、Firefoxは特殊なPNG関数 ライブラリ(libpng)を組み入れることで、PNGイメージ・フォーマットに対応できるようにしている。 しかしPNGライブラリは、未特定メモリに関わる様々な脆弱性の影響を受けている。攻撃者は、加工したPNGイメージを含む悪質なウェブページにユーザを誘導すると、こうしたメモリ処理欠陥を悪用してユーザの権限を利用、そのユーザのコンピュータで任意コードを実行することができるようになる。ユーザにローカル管理者のアクセス権がある場合、攻撃者はこの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる。

Mozilla による評価: 緊急

特定のDOMエレメント処理で ダブル・フリー脆弱性 (2009-003)

Firefoxのガーベージコレクションのプロセスは、ダブル・フリー脆弱性という特有のメモリ処理欠陥の影響を受けている。ウェブ開発者達は、これがFirefoxが親子関係のようにリンクしているクローンのXUL DOMエレメント一連を処理する方法に起因していることを知っておくといいだろう。攻撃者は悪質なウェブサイトにユーザを誘導し、この欠陥を悪用してユーザの権限を獲得、そのユーザのコンピュータで任意コードを実行できるようになる。また、ユーザが管理者アクセス権を持っている場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

Mozilla による評価: 緊急

このアップデートが修正する脆弱性のリストについてはMozillaのKnown Vulnerabilitiesページを参照することをすすめる。

【対策】

MozillaはFirefox 3をアップデートし問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.0.7をダウンロードし導入すること。また、1.5.x および2.x ユーザは3.0.7に移行することをすすめる。

ダウンロード先(日本語版)

注意:
最新バージョンであるFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。

全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。

【ステータス】

MozillaはFirefox 3.0.7をリリースし、セキュリティ問題を修正している。

【参考資料】

Firefox 3.0.7 リリース・ノート
セキュリティ欠陥を修正したFirefox 3.0.7

この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。