9月20日、オープンソースのWebブラウザ「Firefox」のLinux版に、新たなセキュリティホールが発見されたことが明らかになった。細工を施されたURLをコマンドライン経由で読み込むと、任意のシェルコマンドを実行される恐れがある。
FrSIRTやSecuniaの情報によると、この脆弱性の影響を受けるのはLinux版Firefox 1.0.6以前。入力値チェックが適切に行われないことが原因となり、URLの中にバッククォート付きで仕込まれた任意のコマンドを実行してしまう可能性がある。FrSIRTやSecuniaではこの問題の深刻度を最も高いレベルに位置づけている。
ただし、コマンドライン経由で文字列を受け渡す際のチェック漏れが原因となっているため、脆弱性が悪用されるのはコマンドライン経由でFirefoxにURLが受け渡された場合に限られる。たとえば、Firefoxをデフォルトのブラウザとして利用しているEvolutionなどのアプリケーションからFirefoxを呼び出した場合にも、同じく悪用される恐れがある。
開発元であるMozilla Foundationからは、問題を修正したバージョンは公開されていないが、Bugzillaでパッチが公開されている。また、外部アプリケーションからFirefoxを呼び出してリンクを開かないよう注意することが回避策になるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR