ゼロデイ攻撃の恐れがあった脆弱性に対応し『Firefox』更新

この記事のURLhttp://japan.internet.com/webtech/20090328/11.html

Mozilla Foundation は27日、攻撃可能なことが明らかになっていた Web ブラウザ『Firefox』の深刻な脆弱性2件に対応し、セキュリティ更新版『Firefox 3.0.8』を急きょ公開した。対応が必要になった問題とは、XSLT 実行時にクラッシュが発生し、攻撃者が悪用し得るという脆弱性だ。これは基本的に、遠隔的なメモリ破壊の類の脆弱性で、Mozilla が実施するセキュリティ更新では、それほど珍しいものではない。

だが通常とやや異なるのは、この脆弱性を悪用する概念実証コードがすでに出回っていることだ。したがって Firefox には、Firefox 3.0.8 が出るまでの間、この脆弱性を悪用したゼロデイ攻撃を受ける危険性が存在していたということになる。

Firefox 3.0.8 で修正したもう1つの脆弱性は、先だって開催された脆弱性発見コンテスト『Pwn2Own』で Nils 氏が見つけたものだ。ただし、Pwn2Own で見つかった脆弱性の詳細は明らかになっていなかったため、Mozilla の対応前にこちらの脆弱性を悪用する攻撃コードが公になったとの情報は (少なくとも私の知る限り) 聞こえてこない。

Nils 氏は Firefox 以外にも、Apple の『Safari』や Microsoft の『Internet Explorer 8』に対する攻撃に成功していることから、同氏の見つけた問題はすべてのブラウザに共通していると思われる。必要があるのならば、Microsoft と Apple にも素早い更新を望みたいところだ。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。