Firefox 1.5の脆弱性実証コードが公開

Internet Storm Centerによると、Firefox上でバッファオーバーフローとサービス妨害（DoS）攻撃を引き起こすコンセプト実証コードが公開された。

[ITmedia]

　リリース間もないFirefox 1.5で脆弱性が発見され、これを突いたコンセプト実証コードが公開されたとして、Internet Storm Centerが12月8日、情報をサイトに掲載した。

　それによると、コンセプト実証コードはPacketstorm Securityが公開したもので、Firefox上でバッファオーバーフローとサービス妨害（DoS）攻撃を引き起こすという。

　Firefoxではユーザーが訪れたサイトについての各種情報を「history.dat」というファイルに保存しているが、Webページのトピックを一定の長さにして作成すると、そのページを訪れた後でブラウザを起動するたびにクラッシュしてしまう。

　現時点でこの問題を修正するパッチは提供されておらず、この現象が起きるとhistory.datファイルを手動で削除しない限り、Firefoxを立ち上げることができなくなる。

　トピックにもっと巧妙な細工を施せば、マシン上にマルウェアをインストールして悪質な攻撃を仕掛けられる可能性もあるとInternet Storm Centerは指摘している。

　この問題は、Firefoxの「ツール」からオプションのプライバシー設定で表示履歴のタブを選び、表示したページの履歴を記憶する日数を「0」に設定すれば回避できるという。