「Firefox 3.5」にゼロデイ攻撃に悪用可能な脆弱性--モジラ報告

文:Tom Espiner(ZDNet UK) 翻訳校正:矢倉美登里、長谷睦

2009-07-16 12:38

 ウェブブラウザ「Firefox 3.5」にJavaScriptに関する深刻な脆弱性が存在すると、Mozillaが発表した。

 この脆弱性は、ゼロデイ攻撃に悪用される恐れがあり、Firefox 3.5のジャストインタイム(JIT)JavaScriptコンパイラに存在する。Mozillaは米国時間7月15日付のセキュリティブログへの投稿で、この脆弱性を突く概念実証コードはすでにセキュリティ研究グループによってオンラインに公開されていると認めている。セキュリティ企業のSecuniaは同日、この脆弱性の深刻度を「きわめて深刻(highly critical)」と評価した。

 Mozillaによると、このセキュリティホールを突けば、ハッカーは「ドライブバイ攻撃」を仕掛けることができるという。つまり、ユーザーが攻撃コードを含んだウェブサイトを訪問すれば、攻撃者は標的としたマシンで悪意あるコードを実行できる可能性があるということだ。

 パッチは今のところリリースされていないが、Mozillaの開発者が修正の作成を行っている。ブログ投稿で勧告されている当面の回避策は、Firefox 3.5のJITコンパイラを無効にするというものだ。ただし、JITコンパイラを無効にするとFirefoxでのJavaScriptのパフォーマンスが低下すると、Mozillaでは警告している。

 JITコンパイラは6月末にリリースされたFirefox 3.5で新たに同ブラウザに加えられたJavaScriptエンジン「TraceMonkey」の一部だ。Firefox 3.5ではそれまでのバージョンに比べて高速化が図られているが、TraceMonkeyはブラウザの最適化を意図したものだと、Mozillaでは説明している。

 米コンピュータ緊急事態対策チーム(US-CERT)は15日、ユーザーおよび管理者はFirefox 3.5のJavaScript機能を完全に無効化すべきだと表明した。

 Sans Instituteも、JavaScriptを無効にすることは可能だと述べ、信頼できるウェブサイトによるスクリプトのみを実行可能にするオープンソースのFirefoxプラグイン「NoScript」の使用を勧めている。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]