SSやメモリ破壊問題を修正したFirefox 3.0.5 全プラットフォーム対象 2008年12月17日
XSSやメモリ破壊問題を修正したFirefox 3.0.5
全プラットフォーム対象
危険度:中
2008年12月17日
【概要】
対象:
Windows、Linux、Macintosh対象のFirefox 2.0.0.18と3.04
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
対策:
Firefox 2.0.0.19または3.0.5にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の12月16日、人気のウェブ・ブラウザーFirefoxのバージョン3.0.5とバージョン2.0.0.19をリリースし約11件のセキュリティ問題を修正した(CVE-IDの情報)。詳細は次の通り。
メモリ破壊の問題 (2008-060)
Firefoxはメモリ破壊に繋がるいくつかのクラッシュバグの影響を受けている(この問題は毎回セキュリティ・アップデートでいくつか修正されている模様)。Mozillaのアラートは、こうしたメモリ破壊の欠陥について詳しく説明していないが、Firefoxのブラウザ・エンジン(および他のMozillaベース製品)に関与するとは述べている。攻撃者の活動次第で、任意コードを実行するためにメモリ破壊問題が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまずユーザを有害なウェブページに誘導しなければならない。ユーザがその罠に掛かると、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行する。ユーザにローカル管理者の権限がある場合や、ルート権限を備えていた場合は攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
SessionStoreのXSS問題(2008-069)
バージョン2.x以降、Firefoxには現行セッションのブラウザ・セッションデータを保存するSession Store機能が搭載されている。例えば複数のウェブサイトをいくつものタブで開いていた際にFirefoxがクラッシュした場合、Firefoxが再度立ち上がる時にクラッシュしたタブ全てが元の状態に戻るようにすることができる。しかし残念なことに、FirefoxはSessionStoreのコンポーネントに関与するクロスサイト・スクリプティング(XSS)の脆弱性の影響を受けている。攻撃者は、細工した有害なリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、同一生成限ポリシーを迂回することができる。特にこれは、攻撃者が正当なウェブサイトに関する状況下でスクリプトを実行したり、正当なサイトからデータを読み取ったりすることができるようにする。例えば、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
Mozilla による評価:緊急
XBLバインディングのXSS 問題(2008-068)
Firefoxは拡張可能なバインディング言語(Extensible Binding Language (XBL))の実施に関与するXSS脆弱性の影響も受けている。この脆弱性の影響とその行動範囲は、先に説明したXSS脆弱性と似ている。攻撃者は、細工した有害なリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、同一生成限ポリシーを迂回することができる。これは攻撃者が正当なウェブサイトに関する状況下でスクリプトを実行したり、正当なサイトからデータを読み取ったりすることができるようにする。先と同様に、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
Mozilla による評価:緊急
このアップデートが修正する脆弱性のリストについてはMozillaのKnown Vulnerabilities ページを参照することをすすめる。
【対策】
MozillaはFirefox 2と3をアップデートし、問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.0.5をダウンロードし導入することをすすめる。MozillaはFirefox1.5.x シリーズのサポートを打ち切っている他、2.0.0.19はMozillaが予定しているFirefox 2.x シリーズ最後のリリースとなっている。1.5.x および2.x ユーザは3.0.5に移行することをすすめる。
Mozilla日本語版サイト
Firefox 2を好んで使用している場合は、修正版(2.0.0.19)をダウンロードできる(スクロールダウンすると「日本語版」のダウンロード先がある)。
注意:
最新バージョンのFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.0.5と2.0.0.19をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
Firefox 3.0.5リリースノートFirefox 3.0.5で修正された脆弱性(英語) Firefox 2.0.0.19リリースノートFirefox 2.0.0.19で修正された脆弱性(英語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
全プラットフォーム対象
危険度:中
2008年12月17日
【概要】
対象:
Windows、Linux、Macintosh対象のFirefox 2.0.0.18と3.04
攻撃方法:
悪質なウェブページにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、それを完全に操作できるようになる
対策:
Firefox 2.0.0.19または3.0.5にアップグレードすること
【詳細】
Mozilla Foundationは米国時間の12月16日、人気のウェブ・ブラウザーFirefoxのバージョン3.0.5とバージョン2.0.0.19をリリースし約11件のセキュリティ問題を修正した(CVE-IDの情報)。詳細は次の通り。
メモリ破壊の問題 (2008-060)
Firefoxはメモリ破壊に繋がるいくつかのクラッシュバグの影響を受けている(この問題は毎回セキュリティ・アップデートでいくつか修正されている模様)。Mozillaのアラートは、こうしたメモリ破壊の欠陥について詳しく説明していないが、Firefoxのブラウザ・エンジン(および他のMozillaベース製品)に関与するとは述べている。攻撃者の活動次第で、任意コードを実行するためにメモリ破壊問題が悪用される可能性があるとMozillaは推測している。欠陥を悪用する場合、攻撃者はまずユーザを有害なウェブページに誘導しなければならない。ユーザがその罠に掛かると、攻撃者はユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行する。ユーザにローカル管理者の権限がある場合や、ルート権限を備えていた場合は攻撃者が被害者のコンピュータを完全に操作できるようになる。
Mozilla による評価:緊急
SessionStoreのXSS問題(2008-069)
バージョン2.x以降、Firefoxには現行セッションのブラウザ・セッションデータを保存するSession Store機能が搭載されている。例えば複数のウェブサイトをいくつものタブで開いていた際にFirefoxがクラッシュした場合、Firefoxが再度立ち上がる時にクラッシュしたタブ全てが元の状態に戻るようにすることができる。しかし残念なことに、FirefoxはSessionStoreのコンポーネントに関与するクロスサイト・スクリプティング(XSS)の脆弱性の影響を受けている。攻撃者は、細工した有害なリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、同一生成限ポリシーを迂回することができる。特にこれは、攻撃者が正当なウェブサイトに関する状況下でスクリプトを実行したり、正当なサイトからデータを読み取ったりすることができるようにする。例えば、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
Mozilla による評価:緊急
XBLバインディングのXSS 問題(2008-068)
Firefoxは拡張可能なバインディング言語(Extensible Binding Language (XBL))の実施に関与するXSS脆弱性の影響も受けている。この脆弱性の影響とその行動範囲は、先に説明したXSS脆弱性と似ている。攻撃者は、細工した有害なリンクをユーザがクリックするように誘導することでこの欠陥を悪用し、同一生成限ポリシーを迂回することができる。これは攻撃者が正当なウェブサイトに関する状況下でスクリプトを実行したり、正当なサイトからデータを読み取ったりすることができるようにする。先と同様に、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
Mozilla による評価:緊急
このアップデートが修正する脆弱性のリストについてはMozillaのKnown Vulnerabilities ページを参照することをすすめる。
【対策】
MozillaはFirefox 2と3をアップデートし、問題を修正している。ネットワークでFirefoxを使用している場合は、早急にバージョン3.0.5をダウンロードし導入することをすすめる。MozillaはFirefox1.5.x シリーズのサポートを打ち切っている他、2.0.0.19はMozillaが予定しているFirefox 2.x シリーズ最後のリリースとなっている。1.5.x および2.x ユーザは3.0.5に移行することをすすめる。
Mozilla日本語版サイト
Firefox 2を好んで使用している場合は、修正版(2.0.0.19)をダウンロードできる(スクロールダウンすると「日本語版」のダウンロード先がある)。
注意:
最新バージョンのFirefox 3.0は、Firefoxのアップデートが入手可能になると自動的にユーザに通知するようになっている。Mozilla がアップデートをリリース次第、使用しているFirefoxがアップデートを受け取るようになるため、この機能はオンにしておくことを強くすすめる。自動的にアップデートを受け取るように設定しているかどうかを確認するには、Tools(ツール)→ Options(オプション)→ Advanced Tab(アドバンス・タブ)→ Update Tab(アップデート・タブ)でできる。Automatically check for Updates(自動的にアップデートをチェックする)というオプション欄でFirefoxがチェックされていることを確かめること。このメニューでは、Firefoxが自動的にアップデートをダウンロードしインストールするように設定したり、アップデートが入手可能になったことだけをユーザに知らせるようにするなど、好みに合わせて設定することができる。
全ユーザ対象:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態でやってくるため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
MozillaはFirefox 3.0.5と2.0.0.19をリリースし、こうしたセキュリティ問題を修正している。
【参考資料】
Firefox 3.0.5リリースノートFirefox 3.0.5で修正された脆弱性(英語) Firefox 2.0.0.19リリースノートFirefox 2.0.0.19で修正された脆弱性(英語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。