ニュース
Firefoxの未解決の脆弱性を突く攻撃発生、更新版で対処
ロシアのニュースサイトの広告に不正なコードが仕込まれているのが見つかり、Mozillaは8月6日にリリースしたFirefox更新版で脆弱性を修正した。
Firefoxの未解決の脆弱性を突くコードがロシアのニュースサイトに仕掛けられているのが見つかり、Mozillaは8月6日にリリースしたFirefox更新版で、この脆弱性に対処したことを明らかにした。
Mozillaによると、8月5日にFirefoxのユーザーから、ロシアのニュースサイトの広告に不正なコードが仕込まれていると報告があった。センシティブなファイルを探してウクライナのサーバにアップロードする仕掛けになっていたという。
悪用されていたのは、同一配信元ポリシーを破って組み込みPDFビューワーにスクリプトを挿入できてしまう脆弱性で、被害者のコンピュータ上にあるセンシティブなローカルファイルが攻撃者に読まれたり、盗まれたりした恐れがある。
8月6日にリリースされたFirefox更新版のバージョン39.0.3と、延長サポート版のESR 38.1.1では、この脆弱性に加えて複数の脆弱性に対処している。
脆弱性が修正される前から発生していたゼロデイ攻撃では、WindowsとLinux向け開発者プログラムの設定ファイルが狙われていたという。この攻撃コードはローカルマシン上で実行されても痕跡が残らないことから、Mozillaではユーザーに対し、標的とされたプログラムを使っていた場合は念のためにパスワードなどを変更した方がいいと呼び掛けている。
関連記事
- Mozilla、FirefoxでFlash Playerを(一時的に)ブロック
Mozillaが、Adobe Flash Playerの一連の脆弱性が修正されるまで、Firefoxで一時的にFlash Playerをブロックすると発表した。 - ブラウザ新機能はHTTPSサイトのみサポートへ、Mozillaが表明
新機能はセキュアなWebサイトにのみ提供し、セキュアでないWebサイトではブラウザの機能を段階的に利用できなくする、という方向性を打ち出した。 - Microsoft、Apple、Google、MozillaがWeb高速化「WebAssembly」で協力
Chrome、Firefox、Edge、Safariなどで共通に使え、Web高速化を実現するバイトコード「WebAssembly」のプロジェクトがスタートした。 - Google、Androidの脆弱性情報に賞金 Mozillaは増額
「Android Security Rewards 」では、Androidの脆弱性を発見し、修正や対策に協力した研究者に賞金を贈呈。Firefoxの脆弱性発見者に支払われる賞金は5年ぶりに増額された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.