Mozillaは、同プロジェクトの主力ブラウザFirefoxに影響のある、重大な脆弱性に対するパッチを日程を繰り上げてリリースした。
このパッチは、当初3月30日にリリースされる予定だったもので、遠隔からのコードの実行を可能にする脆弱性を修正する。このセキュリティホールは、もともと2月にVulnDiscoエクスプロイトパックの一部に組み込まれて明らかになったものだが、Mozillaのセキュリティ対応チームは3月中頃までその詳細について情報を得ていなかった。
CanSecWestで開催されるハッキングコンテストPwn2Ownを1日後に控えたMozillaは、このパッチを公開し、問題について次のように説明した。
WOFFデコーダの圧縮フォント展開処理に整数オーバーフローが含まれていることが、Intevydisのセキュリティ研究者Evgeny Legerov氏によって報告されました。この問題によって、ダウンロードフォントの保存に割り当てられるメモリバッファが不足する状況が発生します。攻撃者はこの脆弱性を悪用して被害者のブラウザをクラッシュさせ、そのシステム上で任意のコードを実行することが可能でした。
Mozillaは、WOFF形式のダウンロードフォントへの対応は、Firefox 3.6(Gecko 1.9.2)から新たに始まったものであり、この脆弱性は古いバージョンのMozillaのエンジンを使って作られた製品には影響がないと述べている。
「Nils」として知られるハッカーは、2010年のPwn2OwnでFirefoxに対するコード実行攻撃を行う予定だ。Nils氏は2009年に、Firefox、Internet Explorer、Safariに対する攻撃を成功させ、3冠を達成している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ