【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
Firefoxの既知のバグを突くサンプル・コードが登場
(2005年12月13日)
Mozilla FoundationのWebブラウザ「Firefox」の古いバージョンをまだ使用し続けているコンピュータ・ユーザーは、最新版へのアップグレードを急いだほうがよさそうだ。旧版に存在した脆弱性を突く概念実証コードが、アービーブ・ラフ(Aviv Raff)と呼ばれているハッカーによって公開されたからだ。
ラフ氏は12月11日、バージョン1.0.4またはそれ以前のバージョンのFirefoxを利用しているコンピュータの乗っ取りに利用できるサンプル・コードを公開した。このエクスプロイトは、広く使われているWebプログラミング言語「JavaScript」の処理にかかわる既知のバグを利用している。
ラフ氏は、「これまでに、バージョン1.0.4からアップデートするための時間的余裕は十分にあったはず。そこで、その脆弱性のPoC(Proof of Concept:コンセプト実証)エクスプロイトを公開することにした」と自らのブログで説明している。
この脆弱性は、7月にリリースしたFirefoxバージョン1.0.5と、Mozilla Suiteのバージョン1.0.5で解消済みであり、「ユーザーが最新版にアップデートし続けるかぎり、概して、非常に安全な状態でいられる」と、Mozilla Foundation傘下のMozilla Corporationでエンジニアリング担当バイスプレジテントを務めるマイク・シュレプファー氏は語っている。
NTBugtraqニュースリストの編集者で米国サイバートラストの研究員でもあるラス・クーパー氏によると、この最新エクスプロイトは、最近広く報じられた、マイクロソフトのInternet Explorer(IE)を標的にした攻撃コードに若干似ている。「これは、標的ユーザーが悪意のWebサイトを訪問した場合に、任意の攻撃コードをインストールして実行させることができる」とクーパー氏はインスタント・メッセージ(IM)によるインタビューで説明した。
ブラウザのセキュリティを破る試みは常になされていると考えてよい。ブラウザを頻繁にアップデートする習慣を身につけていないユーザーは、その習慣を改める必要があるとクーパー氏は指摘する。「ブラウザには恒常的に脆弱性が見つかっている。何に対するパッチかを問わず、あらゆるパッチの提供開始から30日以内のアップデートを続けるべきだ」(クーパー氏)
前述のIE攻撃コード(11月に登場)も、パッチがまだ提供されていないJavaScript処理上の脆弱性を突くものだった。
なお、多くのセキュリティ専門家は、マイクロソフトが12月の月例パッチ(米国時間の12月14日水曜日付)で、IEのJavaScriptの脆弱性を解消する更新プログラムを提供すると予想している。ただし、マイクロソフトはそうするかどうかを明言していない。
(Originally reported by Robert McMillan, IDG News Service 12/12/2005)
(IDG News Service)
