ゼロデイ攻撃の恐れがあった脆弱性に対応し『Firefox』更新

Mozilla Foundation は27日、攻撃可能なことが明らかになっていた Web ブラウザ『Firefox』の深刻な脆弱性2件に対応し、セキュリティ更新版『Firefox 3.0.8』を急きょ公開した。対応が必要になった問題とは、XSLT 実行時にクラッシュが発生し、攻撃者が悪用し得るという脆弱性だ。これは基本的に、遠隔的なメモリ破壊の類の脆弱性で、Mozilla が実施するセキュリティ更新では、それほど珍しいものではない。

だが通常とやや異なるのは、この脆弱性を悪用する概念実証コードがすでに出回っていることだ。したがって Firefox には、Firefox 3.0.8 が出るまでの間、この脆弱性を悪用したゼロデイ攻撃を受ける危険性が存在していたということになる。

Firefox 3.0.8 で修正したもう1つの脆弱性は、先だって開催された脆弱性発見コンテスト『Pwn2Own』で Nils 氏が見つけたものだ。ただし、Pwn2Own で見つかった脆弱性の詳細は明らかになっていなかったため、Mozilla の対応前にこちらの脆弱性を悪用する攻撃コードが公になったとの情報は (少なくとも私の知る限り) 聞こえてこない。

Nils 氏は Firefox 以外にも、Apple の『Safari』や Microsoft の『Internet Explorer 8』に対する攻撃に成功していることから、同氏の見つけた問題はすべてのブラウザに共通していると思われる。必要があるのならば、Microsoft と Apple にも素早い更新を望みたいところだ。