『Firefox』で DoS 状態に陥る実証コード出回る

この記事のURLhttp://japan.internet.com/webtech/20051018/11.html

Whitedust Publications が運営するセキュリティ情報サイト『Whitedust Security』は17日、オープンソース開発団体 Mozilla Foundation の Web ブラウザ『Firefox』に存在する危険度評価の低い脆弱性について、サービス不能化 (DoS) 状態を引き起こし得る概念実証コードが公開されたと発表した。

Whitedust Security が掲載した情報には、概念実証コードを公開した『milw0rm.com』へのリンクも掲示している。

Mozilla Foundation も脆弱性の存在は確認しており、同団体のバグ追跡システム『Bugzilla』には、8月から載っていた。

問題の脆弱性は、セキュリティ情報サイト『Security-Protocols』の研究者 Tom Ferris 氏が最初に報告したもので、「悪意をもって作成した HTML ページにより、Firefox 1.0.6 がセグメンテーション フォールト (規定領域外のメモリアクセスによる例外発生) を起こす」と記してある。

セキュリティ調査会社 Secunia は同脆弱性について、まず6日に情報を公開し、10日付で更新している。同社による危険度評価は、最低のランクだ。

この脆弱性は、テスト中のベータ版 Firefox 1.5 Beta 2 では修正済みだが、おそらく Firefox の現行版 1.0.7 までの各版には存在している。

Whitedust Security の Mark Anderson 氏は取材に対し、「繰り返しブラウザをクラッシュさせることが可能ということは、緊急レベルのバグではないとしても、この DoS 状態がもっと多くなれば、より深刻な攻撃につながる可能性がある。もしもこの脆弱性が、ブラウザをクラッシュさせるだけなら、それは些細で緊急なものではない」

このようなブラウザのクラッシュについて、実際の DoS とは異なるという見方に対し、Anderson 氏は次のように反論した。

「定義によれば、この脆弱性は明らかに DoS 問題だ。ブラウザをクラッシュさせることで、ユーザーのブラウザ操作は中断し、その際に成立していたセッションは全て失われる。これは、実質的にサービス不能状態だ」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。