編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

モジラがFirefoxに対するセキュリティパッチを繰り上げて公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2010-03-24 18:08

 Mozillaは、同プロジェクトの主力ブラウザFirefoxに影響のある、重大な脆弱性に対するパッチを日程を繰り上げてリリースした。

 このパッチは、当初3月30日にリリースされる予定だったもので、遠隔からのコードの実行を可能にする脆弱性を修正する。このセキュリティホールは、もともと2月にVulnDiscoエクスプロイトパックの一部に組み込まれて明らかになったものだが、Mozillaのセキュリティ対応チームは3月中頃までその詳細について情報を得ていなかった。

 CanSecWestで開催されるハッキングコンテストPwn2Ownを1日後に控えたMozillaは、このパッチを公開し、問題について次のように説明した

 WOFFデコーダの圧縮フォント展開処理に整数オーバーフローが含まれていることが、Intevydisのセキュリティ研究者Evgeny Legerov氏によって報告されました。この問題によって、ダウンロードフォントの保存に割り当てられるメモリバッファが不足する状況が発生します。攻撃者はこの脆弱性を悪用して被害者のブラウザをクラッシュさせ、そのシステム上で任意のコードを実行することが可能でした。

 Mozillaは、WOFF形式のダウンロードフォントへの対応は、Firefox 3.6(Gecko 1.9.2)から新たに始まったものであり、この脆弱性は古いバージョンのMozillaのエンジンを使って作られた製品には影響がないと述べている。

 「Nils」として知られるハッカーは、2010年のPwn2OwnでFirefoxに対するコード実行攻撃を行う予定だ。Nils氏は2009年に、Firefox、Internet Explorer、Safariに対する攻撃を成功させ、3冠を達成している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]