Intevydisのロシア研究者によると、Firefox 3.6で謎の新しいゼロデイ脆弱性が見つかった。攻撃者はこの脆弱性を使って、対象PCをコントロールすることが可能となる。残念なことに、まだ詳細は公表されていない。

Intevydis、Immunity、Core Securityのようなセキュリティ調査会社は、Metasploitと同じような攻撃フレームワーク製品を販売している。この製品を使って、企業はシステムへの新しいセキュリティ攻撃をテストしている。これらの会社の多くは公表されていない新しいゼロデイ攻撃を行う攻撃パックサービスも提供している。これらのゼロディ攻撃を把握し、テストしたい場合、このサービスを購入する必要がある。具体的に、IntevydisはImmunityのCANVAS攻撃ツールキットと利用できるVulnDiscoという攻撃パックを販売しているが、この記事によると、Intevydisは、このVulnDisco攻撃パックで新しいFirefox 3.6のゼロディ脆弱性を発表したという。

この攻撃方法は公表されていないので、Intervydis（とMozilla）以外ではまだ詳細は不明である。Intevydisの研究者は、バッファー・オーバーフローによる脆弱性である、ということのみ発表している。また、現時点ではWindowsの脆弱性のみ発表しているので、Windows上でのFirefoxのみに影響することも考えられる。もし他のブラウザと同様のバッファー・オーバーフローであれば、攻撃者が対象者を悪意のあるウェブサイトへ誘導した後、このセキュリティホールを悪用して、アクセス権限を使って、PC上でコードを実行すると考えられる。もし対象者が管理者権限を持っている場合、攻撃者がPCを完全にコントロールすることが可能となる。

今回は、自社環境内での脆弱性であるため、まだ一般的には悪用されていない。しかし、その保証はない。さらに、このような脆弱性が発表されたことによって、ハッカーが研究することも考えられる。Mozillaがこの脆弱性を修正するためのリリースを行った際、LiveSecurityユーザには、アラートが送られる。それまで、FirefoxのNoScript拡張機能を利用することを強く勧める。NoScriptで、悪用される可能性があるJavaScriptをブロックすることができる。

Corey Nachreiner, CISSP

【原文】
The latest Firefox (3.6) already suffers from a mysterious zero day vulnerability
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.Firefox3.6.0day