★阿修羅♪ > IT8 > 302.html ★阿修羅♪ |
Tweet |
Firefoxの脆弱性、攻撃に悪用されるのも時間の問題--専門家が警告【CNET_Japan記事】
http://japan.cnet.com/news/sec/story/0,2000050480,20087206,00.htm
Joris Evers(CNET News.com)
2005/09/14 14:28 Trackback (4)
ウェブブラウザの「Firefox」と「Mozilla」に存在する深刻なセキュリティバグを悪用する方法が複数見つかったことから、まもなくこれを悪用した攻撃が発生する可能性があるとしてセキュリティ専門家らが注意を呼びかけている。
問題の脆弱性は米国時間8日にセキュリティ研究者のTom Ferrisが明らかにしたもので、攻撃者にこれを悪用されると、ユーザーの気付かないうちに悪質なソフトウェアをPC上で実行されてしまうというもの。
FirefoxやMozillaブラウザの配布や開発のとりまとめを行うMozilla Foundationでは、同脆弱性にただちに対応し、9日には暫定版の修正パッチをリリースしていた。
セキュリティ専門家らによれば、「Netscape」ブラウザの最新版も同脆弱性の影響を受けるという。Netscape関係者が13日に明らかにしたところによると、Time Warner傘下のAmerica Onlineに属する同部門では現在、この問題について調査を進めているところだという。
セキュリティ脆弱性の存在が明らかにされると、セキュリティコミュニティでは通常、その悪用方法をいち早く示そうとする競争が始まる。実際に、ここ数日間で、少なくとも2人の研究者が、セキュリティ関連の有名なメーリングリストのなかで、この脆弱性に関して攻撃者が使いそうな手口を見つけたと主張している。
メーリングリストへ投稿されたメッセージによると、この手口はWindowsとLinux上で使えるものだという。この脆弱性に関する詳細が明らかにされた時点では、これを悪用する手口は、Ferrisが発見したと主張するWindows用のもの以外に知られていなかった。
Berend-Jan Weverというコンピュータ科学専攻のオランダ人学生は10日、「Full Disclosure」というメーリングリストに「このプログラムの作成には、わずか3時間半程度しかかからなかった。わたし以外にも、同様のプログラムを書いた人間がいるかもしれない」というメッセージを投稿した。Weverは、Windows XPやWindows Server 2003上でこの脆弱性を悪用する方法を見つけたと主張している。
WeverやFerrisは作成したコードを公開していない。また、この脆弱性を突いた攻撃に関する報告は寄せられていない。だが、犯罪を目論む攻撃者たちが、研究者らに引けをとらないほどのスピードで同脆弱性を悪用する準備を進めている可能性があると、専門家らは指摘している。
「一般ユーザーからは、この脆弱性が悪用されたという報告はまだ上がってきていない。だが、セキュリティ研究者やハッカーがこの問題に注目していることは確かだ」とFrench Security Incident Response Team(FrSIRT)の関係者は述べる。FrSIRTでは、この問題の脅威レベルを最も深刻な「重大」に分類している。
Ferrisも、同脆弱性を悪用するコードを作成したり、買ったりして、一般ユーザーのマシンに攻撃を仕掛けようとしている攻撃者が存在することを認めている。「攻撃用コードを提供して欲しいという内容の電子メールを何回か受け取っている。このことから、どうにかしてトロイの木馬を手に入れようとしている人間がいることが分かる」(Ferris)
今回の脆弱性は、Firefox、Mozilla、Netscapeのそれぞれが国際化ドメイン名(International Domain Names:IDN)を扱う際の処理方法に関連するもので、専門家らはFirefox/Mozillaユーザーに対し、Mozilla Foundationが提供している暫定パッチを適用し、IDNの機能を無効にするよう勧めている。IDNとは各国独自の言語を使うドメイン名のことを指す。
「ユーザーには、修正パッチが出されるまで、ベンダーが公開した迂回措置を講じること強く勧める」とセキュリティ対策企業 iDefense LabsのディレクターであるMichael Suttonは述べている。「これを悪用するプログラムが書かれる可能性があり、確実に誰かがつくるだろう」(Sutton)
問題の脆弱性は、バッファオーバーフローの欠陥で、攻撃者はウェブサイトに悪質なコードを潜り込ませ、この脆弱性を悪用することが可能だ。Mozillaは自らのウェブサイトに出した勧告のなかで、暫定版のパッチや手動でIDNを無効にする方法を掲載している。