窓の杜Logo
NEWS (05/05/09 16:40)

「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か

Javaスクリプトの無効化により回避可能とのこと

本脆弱性の影響例
本脆弱性の影響例
 フランスのFrSIRTやデンマークのSecuniaなどのセキュリティベンダーが7〜8日(現地時間。以下、同)に明らかにしたところによると、「Firefox」に任意のコードが実行される重大な脆弱性が存在するとのこと。本脆弱性の深刻度は、FrSIRTでは4段階中最高の“Critical Risk”、Secuniaも5段階中最高の“Extremely critical”と判定している。この脆弱性はv1.0.3で確認されており、v1.0.3以前のバージョンも影響を受けると予想される。

 本脆弱性は、IFRAMEタグのSRC属性や、“拡張機能マネージャ”画面に表示するアイコンを指定する“iconURL”の処理に起因し、Javaスクリプトによる細工で任意のコードが実行される恐れがあるとのこと。たとえば、攻撃者が作成した悪意のあるWebページを開き任意の場所をクリックするだけで、任意のソフトがインストールされてしまう。

 本脆弱性の修正パッチは公開されておらず、FrSIRTは本脆弱性の回避策として、Javaスクリプトを無効にするか、Webサイトによるソフトのインストールを許可しないように設定することを推奨している。なお、「Firefox」や「Mozilla」などに関する情報サイト“mozillaZine”によると、本脆弱性への対策は2日ごろより既に始まっており、問題を修正したv1.0.4が近日中にリリースされるのではないかと予想している。


□FrSIRT Advisories - Mozilla Firefox "Extensions" Remote Code Execution Vulnerability / Exploit
http://www.frsirt.com/english/advisories/2005/0493
□Secunia - Advisories - Mozilla Firefox Two Vulnerabilities
http://secunia.com/advisories/15292/
□Mozilla Arbitrary Code Executation Security Flaw - MozillaZine Talkback
http://www.mozillazine.org/talkback.html?article=6582

(石川 敬峰)




トップページへ

Copyright ©2005 Impress Corporation, an Impress Group company. All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで