MozillaがFirefox 2.0の10件の脆弱性にパッチを当て、2.0.0.13にアップデートした。米国時間3月26日早朝のアップデートでは、次に挙げるFirefoxの脆弱性が修正された。
- MFSA 2008-19 XUL ポップアップ偽装の応用例 (タブを超えたポップアップ)
- MFSA 2008-18 LiveConnect を通じた、任意のローカルポートへの Java ソケット接続
- MFSA 2008-17 SSL クライアント認証に関するプライバシー問題
- MFSA 2008-16 不正な URL を用いた HTTP Referrer の偽装
- MFSA 2008-15 メモリ破壊の形跡があるクラッシュ (rv:1.8.1.13)
- MFSA 2008-14 JavaScript の特権昇格と任意のコード実行
これら6件のアドバイザリのうち、2つが最高、2つが高の重要度に区分けされている。これらの脆弱性は、ThunderbirdとSeaMonkeyにも影響がある。Secuniaは今回のアップデートに対し10のCVE番号を振り、次のようにまとめている。
Mozilla Firefoxにはいくつかの脆弱性と弱点が報告されており、これらを悪用することで、悪意を持った人が一定のセキュリティ上の制約をバイパスしたり、秘密の可能性のある情報を開示したり、クロスサイトスクリプティングを仕掛けたり、フィッシングの攻撃を仕掛けたり、ユーザーのシステムを侵害したりすることが可能だった。
今回のFirefoxのアップデートに含まれるCVEは、CVE-2007-4879、CVE-2008-1195、CVE-2008-1233、CVE-2008-1234、CVE-2008-1235、CVE-2008-1236、CVE-2008-1237、CVE-2008-1238、CVE-2008-1240、CVE-2008-1241 の10件だ。
メモリ破壊によるクラッシュ(MFSA 2008-15)は、Mozillaによって最高の重要度に分類されている。Mozillaのアドバイザリには、次のように書かれている。
Firefox やその他の Mozilla をベースとした製品で利用されている、ブラウザエンジンに含まれていた安定性に関するいくつかのバグを、Mozilla 開発者が特定、修正しました。これらバグの一部はメモリ破壊の形跡が見られるクラッシュで、条件が整えば任意のコード実行に利用可能と思われるものでした。
もう1つの最高の重要度の脆弱性は、JavaScript の特権昇格と任意のコード実行に関するものだ。Mozillaはアドバイザリの中で次のように述べている。
ページコンテンツからより高い特権でスクリプトの実行を許してしまう一連の脆弱性が、Mozilla 貢献者の moz_bug_r_a4 氏、Boris Zbarsky 氏、Johnny Stenback 氏によって報告されました。MFSA 2007-25 と MFSA 2007-35 (XPCNativeWrapper 汚染を通じた任意のコード実行) の別の応用例が moz_bug_r_a4 氏によって実証されました。ブラウザが、汎用的な XSS や任意のコード実行につながる、誤った特権で JavaScript コードを実行させられるということが、Boris Zbarsky 氏、Johnny Stenback 氏、moz_bug_r_a4 氏によって個別に報告されたさらなる脆弱性によって示されました。
また、重要度が高のセキュリティホールの中で、もっとも興味深いものは、LiveConnect を通じたJava ソケット接続に関するものだった。この問題について、Mozillaはアドバイザリの中で次のように述べている。
jar: プロトコルを通じて取得された Web コンテンツが、LiveConnect 経由で Java を用いて、ユーザのマシン (ローカルホスト) 上の任意のポートに対してソケット接続を開けることが、セキュリティ研究者の Gregory Fleischer 氏によって実証されました。この問題は、ブラウザから Java プラグインに渡されるコンテンツ生成元が不適切にパースされるによって引き起こされるものでした。そのようなコンテンツは、null 値のホストを持つかのように誤って評価され、ローカルファイルであるかのように誤認識され、以後ローカルホストへの接続許可を得てしまっていました。この問題が修正された Java Runtime Environment (JRE) が Sun から公開されました。Mozilla 側でも、最新の JRE をインストールしていないユーザを保護するため、LiveConnect 機能に修正を加えました。
これらのパッチは、自動アップデートを通じてMozillaユーザーに配信されている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
「セキュリティ」 の新着情報
-
日本IBM、ICカードや生体認証デバイスに対応したアクセス管理製品の新バージョン
日本IBMは、アクセス管理ソフトウェアの最新版である「IBM Tivoli Access Manager for Enterprise Single Sign-On V8.1」を発... - IE 7のゼロデイ脆弱性に攻撃コードが公開される
- Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
- 「iPhone」と「iPod touch」を狙う危険なワームが出現
- マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
Operaに3件の脆弱性が修正されたバージョン10.10が公開された。そのうち1件は「非常に重大」な脆弱性であり、Operaユーザーは速やかにアップグレードを行うべきだ。 -
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
-
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
- Zero Day 一覧へ »
-
CRMの限界を超える!「顧客経験価値マネジメント」実現の5段階
- 【導入事例集】多業種から評価されているWeb会議システム、24社の導入事例をご紹介
- 【日産自動車:BI導入事例】連結対象の36社からの情報を元に車種別損益管理を実現
- ストレージ問題の課題に対する解決方法
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- 最上級のブレードがこれだ!導入実績豊富な製品で構成され、仮想化環境に最適化し...
- 【顧客事例】日本製紙グループ様〜グループの「データ分析力」を向上、現場の「見...
- 業界トップシェアを誇るWeb会議システムが選ばれている理由
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- データベースにおけるデータ管理の最新手法
企画特集
-
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場
Intel Video Series
-
5. lambda関数を使って
この5分間のビデオは、並列コードをより読みやすくするために、Threaded... -
6. 既知のバグをデバッグする
この4分間のビデオは、並列プログラムエラーが疑われる既知のバグをデバ...
