ニュース
» 2005年12月13日 11時18分 UPDATE

Firefoxのバグを突く新たなコードが登場

旧版Firefoxのバグを悪用する実証コードをアビブ・ラフと名乗る人物が公開した。この人物は最新版へのアップデートを促している。(IDG)

[IDG Japan]
IDG

 最新版Firefoxにまだアップグレードしていないユーザーにとって、そうするべき理由が1つ増えたかもしれない――アビブ・ラフと名乗るハッカーのおかげで。

 ラフ氏は12月11日、バージョン1.0.4以前のFirefoxを使っているユーザーのコンピュータを乗っ取るのに利用できるサンプルコードを公開した。このコードは、FirefoxがJavascriptを処理する方法に関連した既知のバグを利用する。

 「Firefox 1.0.4からアップグレードするための時間は十分に与えられたと思う。そこでここに、この脆弱性のPoC(コンセプト実証コード)を用意した」と同氏は自身のブログに書いている。

 このバグは7月にリリースされたFirefox 1.0.5で修正され、Mozilla Suite 1.7.9でも修正されているとMozilla Corporationのエンジニアリング担当副社長マイク・シュローファー氏は語る。「最新版にアップデートし続けている限り、ユーザーはおおむね安全だ」

 今回の実証コードは幾つかの点で、広く報道されたInternet Explorer(IE)の攻撃コードに似ているとメーリングリストNTBugtraqの編集者で、セキュリティベンダーCybertrustの研究者ラス・クーパー氏は指摘する。「これはユーザーが不正なWebサイトにアクセスしたときに、攻撃者の好きなコードをインストールして実行できる」と同氏はインスタントメッセージング(IM)による取材に応えて語った。

 ブラウザを頻繁にアップデートする習慣のないユーザーは、そうしたやり方を変えるべきだとクーパー氏は言う。ブラウザは「歴史的に見て、壊れている」ためだという。「定期的に脆弱性が出てくるという意味だ。パッチがリリースされたら、何のためのパッチかにかかわらず、30日以内にアップデートするべきだ」

 11月に公開されたIEの実証コードは、未パッチのJavascriptの問題を利用するものだ。

 多くのセキュリティ専門家は、Microsoftが12月13日(米国時間)にJavascriptのバグにパッチを当てると予測しているが、同社はそうするとは認めていない。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ