モジラがFirefoxに対するセキュリティパッチを繰り上げて公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2010-03-24 18:08

 Mozillaは、同プロジェクトの主力ブラウザFirefoxに影響のある、重大な脆弱性に対するパッチを日程を繰り上げてリリースした。

 このパッチは、当初3月30日にリリースされる予定だったもので、遠隔からのコードの実行を可能にする脆弱性を修正する。このセキュリティホールは、もともと2月にVulnDiscoエクスプロイトパックの一部に組み込まれて明らかになったものだが、Mozillaのセキュリティ対応チームは3月中頃までその詳細について情報を得ていなかった。

 CanSecWestで開催されるハッキングコンテストPwn2Ownを1日後に控えたMozillaは、このパッチを公開し、問題について次のように説明した

 WOFFデコーダの圧縮フォント展開処理に整数オーバーフローが含まれていることが、Intevydisのセキュリティ研究者Evgeny Legerov氏によって報告されました。この問題によって、ダウンロードフォントの保存に割り当てられるメモリバッファが不足する状況が発生します。攻撃者はこの脆弱性を悪用して被害者のブラウザをクラッシュさせ、そのシステム上で任意のコードを実行することが可能でした。

 Mozillaは、WOFF形式のダウンロードフォントへの対応は、Firefox 3.6(Gecko 1.9.2)から新たに始まったものであり、この脆弱性は古いバージョンのMozillaのエンジンを使って作られた製品には影響がないと述べている。

 「Nils」として知られるハッカーは、2010年のPwn2OwnでFirefoxに対するコード実行攻撃を行う予定だ。Nils氏は2009年に、Firefox、Internet Explorer、Safariに対する攻撃を成功させ、3冠を達成している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]