オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害(DoS)攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。
問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。
フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした。アドバイザリーと同時に、Firefoxのクラッシュを再現できるHTMLコードをWebサイト、およびメーリングリストで公開している。
脆弱性はWindowsおよびLinux版のFirefoxバージョン1.0.6で確認された。フェリス氏の報告によれば、それ以前のバージョンと、公開されたばかりの1.5 β1も影響を受ける。またSecuniaやFrSIRTのアドバイザリーによると、Mozilla 1.7.11やNetscape 8.0.3.3/7.2にも同様に、ドメイン名処理に起因する脆弱性が存在するという。
問題が公になった当初はパッチはリリースされていなかったが、米国時間の9月9日になって、Mozilla Foundationがパッチを含む対応策を示した。エラーが存在する国際化ドメイン名(IDN)処理(デフォルトでは有効になっている)を無効にするための暫定パッチで、Firefox 1.0.6/1.0.6.1およびMozilla 1.7.11/1.7.11.1に対応している。また、手動でIDNを無効にするよう設定(network.enableIDN)を変更しても問題は避けられるという。
これらの対策を採るのが困難な場合は、信頼できないWebサイトを訪れないようにして自衛するしかない。Mozilla Foundationでは、より根本的な解決策の開発も進めており、将来のバージョンでフィックスされる予定としている。
フェリス氏はアドバイザリーの中で、Mozilla Foundationには9月4日に問題を通知していたとしている。一方Mozilla Foundationは、報告を受け取ったのは4日ではなく、米太平洋夏時間で9月6日の午後だったと述べている。
フェリス氏は今回の脆弱性以前にも、Windowsに存在するリモートデスクトッププロトコルの脆弱性(MS05-041)を報告していたほか、Internet Explorerに未パッチの脆弱性が存在することも警告している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR