MozillaがFirefoxの12件のセキュリティホールを修正

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-09-25 01:21

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 Mozillaは同社の主力ブラウザであるFirefoxに対し、少なくとも12件の明文化されたセキュリティ上の脆弱性を修正したバージョンを公開した。これらのセキュリティホールの一部は、何百万人ものウェブ利用者を、リモートからのコード実行攻撃の危険にさらすものだ。

 Firefox 3.0.2のアップグレードでは、Mozillaが重要度を「最高」に指定する2つの問題を修正している。該当する脆弱性が攻撃者のコードを実行するのに使われ、通常のブラウジング以外の操作なしでソフトウェアをインストールしてしまう危険がある。

 Mozillaが公開したセキュリティ情報の概要は以下の通りだ。

(参照:Talking Firefox security with Mozilla’s Window Snyder

  • MFSA-2008-40 - Liu Die Yu 氏によって Internet Explorer に発見されたクリックハイジャック脆弱性の応用例が、Mozilla 開発者の Paul Nickerson によって報告されました。この脆弱性は、マウスがクリックされている間に、攻撃者がコンテンツウィンドウを動かすことを許してしまうもので、ある項目をクリックしたにもかかわらず、実際にはドラッグしてしまうという状況を引き起こします。この問題は、潜在的にはユーザにファイルをダウンロードさせたり、その他のドラッグ&ドロップ操作を実行させるのに利用される可能性がありました。
  • MFSA-2008-41 - ページコンテンツが XPCNativeWrappers を汚染し、クローム特権で任意のコードを実行可能となる一連の脆弱性が、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。moz_bug_r_a4氏が報告したこの脆弱性の亜種は、Firefox 2にしか影響がありませんでした。 XSLT がスクリプト処理オブジェクトを持たないドキュメントを作成可能であることが、Mozilla 開発者の Olli Pettay によって報告されました。また、document.loadBindingDocument() がスクリプト処理オブジェクトを持たないドキュメントを返すことが、moz_bug_r_a4 氏によって報告されました。これらの問題は、攻撃者がクローム特権で任意のスクリプトを実行するのに利用される可能性がありました。
  • MFSA-2008-42 - Firefox やその他の Mozilla ベースの製品で利用されているブラウザエンジンに含まれていた安定性に関するいくつかのバグを、Mozilla 開発者が特定、修正しました。これらバグの一部はメモリ破壊の形跡が見られるクラッシュで、条件が整えば任意のコード実行に利用可能と思われるものでした。 Mozilla の画像レンダリングコードにおける 2 件のクラッシュが、Apple Product Security の Drew Yao 氏によって報告されました。この脆弱性は Firefox 3 のみに影響するものでした。
  • MFSA-2008-43 - 一部の BOM 文字が実行前に JavaScript コードから切り捨てられてしまうことが、Microsoft 開発者の Dave Reed 氏によって報告されました。これは、引用符付き文字列の一部として扱われるべきコードが誤って実行されてしまう可能性をはらんでいました。この問題は、潜在的には、攻撃者がスクリプトフィルタを回避し XSS 攻撃を実行するのに利用される可能性がありました。 また、HTML パーサに含まれる問題が、セキュリティ研究者の Gareth Heyes 氏によって報告されました。これは、一部の下位サロゲート文字が HTML エスケープされていた場合にパーサに無視されてしまうという問題で、ネイティブのスクリプトフィルタを回避し XSS 攻撃に利用される潜在的可能性があるものでした。この問題は Firefox 2 のみに影響します。
  • MFSA-2008-44 - resource: プロトコルにおいて URL エンコードされたスラッシュを用いた場合に、Linux 上でディレクトリトラバーサルが可能になることが、Mozilla 開発者の Boris Zbarsky によって報告されました。 ローカル HTML ファイルに課せられた制限が、resource: プロトコルを用いることで回避可能であることが、Mozilla 開発者の Georgi Guninski によって報告されました。この脆弱性は、攻撃者がシステムに関する情報を読み取ったり、そうした情報をファイルに保存するよう被害者に対して指示することを可能にするものでした。

(参照:Firefox急遽プライベートモード追加へ:Mozillaの焦り?

 Mozillaはまた、Firefox 2に影響のある複数の脆弱性に対するパッチも公開したが、ユーザーに対してはFirefox 3にアップグレードすることを強く推奨している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
Mozilla Foundation
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介
  2. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ
  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望
  4. ビジネスアプリケーション

    インシデント対応における生成AIの活用に脚光、調査レポートから見るインシデント管理の現状
  5. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]