MozillaがPwn2OwnのFirefoxに関するバグを修正

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-03-30 15:59

 Mozillaは2009年のCanSecWest Pwn2Ownハッカーコンテストで利用された、コードを実行される可能性があるセキュリティホールを修正することについて、ブラウザメーカーの間での競争に勝利し、1番に問題を修正した。

 オープンソースグループであるMozilla Foundationは、米国時間3月27日、2つの異なる脆弱性を修正したFirefox 3.0.8をリリースした。今回修正された脆弱性には、「Nils」というコードネームのハッカーがPwn2Ownに勝利した際に利用した自動ダウンロードの問題も含まれている。今回のアップデートでは、3月第4週に攻撃コードを公開しているサイトで明らかにされたゼロデイ脆弱性の問題も修正している。どちらの問題も、重要度はMozillaが指定するもっとも高いレーティングである「最高」となっている。

 (参照:Nils2Own: 「セキュリティホールが修正されてほしい」

 修正点の概要は以下の通りだ。

  • MFSA 2009-13: XUL tree 要素の _moveToEdgeShift メソッドが、使用中のオブジェクト上でガベージコレクション処理の引き金となる場合があることが、セキュリティ研究者の Nils 氏によって、TippingPoint 社の Zero Day Initiative を通じて報告されました。そのような状態になると、ブラウザは既に破棄されたオブジェクトにアクセスしようとしてクラッシュします。攻撃者はこのクラッシュを利用して、被害者のコンピュータ上で任意のコードを実行することが可能でした。この脆弱性は、報告者によって、2009 CanSecWest Pwn2Own コンテストへの入賞に用いられました。この脆弱性は、Firefox 2、Thunderbird 2 および通常リリース版の SeaMonkey には影響しません。
  • MFSA 2009-12: XSL スタイルシートを利用して XSL トランスフォーメーションの実行時にブラウザをクラッシュさせられることが、セキュリティ研究者の Guido Landi 氏によって発見されました。攻撃者がこのクラッシュを利用して、被害者のコンピュータ上で任意のコードを実行することが潜在的に可能な状態でした。 この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。

 参照:Exploit code sends Mozilla scrambling to fix Firefox

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]