Firefoxに極めて重大な脆弱性

FirefoxにDoS攻撃を誘発する深刻な脆弱性が発見された。最新の1.5 β1も影響を受ける。Mozilla Foundationでは急遽パッチを公開した。

[ITmedia]

　オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害（DoS）攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。

　問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。

　フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした。アドバイザリーと同時に、Firefoxのクラッシュを再現できるHTMLコードをWebサイト、およびメーリングリストで公開している。

　脆弱性はWindowsおよびLinux版のFirefoxバージョン1.0.6で確認された。フェリス氏の報告によれば、それ以前のバージョンと、公開されたばかりの1.5 β1も影響を受ける。またSecuniaやFrSIRTのアドバイザリーによると、Mozilla 1.7.11やNetscape 8.0.3.3／7.2にも同様に、ドメイン名処理に起因する脆弱性が存在するという。

　問題が公になった当初はパッチはリリースされていなかったが、米国時間の9月9日になって、Mozilla Foundationがパッチを含む対応策を示した。エラーが存在する国際化ドメイン名（IDN）処理（デフォルトでは有効になっている）を無効にするための暫定パッチで、Firefox 1.0.6／1.0.6.1およびMozilla 1.7.11／1.7.11.1に対応している。また、手動でIDNを無効にするよう設定（network.enableIDN）を変更しても問題は避けられるという。

　これらの対策を採るのが困難な場合は、信頼できないWebサイトを訪れないようにして自衛するしかない。Mozilla Foundationでは、より根本的な解決策の開発も進めており、将来のバージョンでフィックスされる予定としている。

　フェリス氏はアドバイザリーの中で、Mozilla Foundationには9月4日に問題を通知していたとしている。一方Mozilla Foundationは、報告を受け取ったのは4日ではなく、米太平洋夏時間で9月6日の午後だったと述べている。

　フェリス氏は今回の脆弱性以前にも、Windowsに存在するリモートデスクトッププロトコルの脆弱性（MS05-041）を報告していたほか、Internet Explorerに未パッチの脆弱性が存在することも警告している。