★阿修羅♪ > IT8 > 346.html ★阿修羅♪ |
Tweet |
(回答先: Firefox 1.0.7 日本語版を公開【セキュリティアップデートです】 投稿者 クエスチョン 日時 2005 年 9 月 26 日 23:56:41)
Firefoxのセキュリティ・ホールを突く危険なコードが出回る(ITPro)
http://itpro.nikkeibp.co.jp/article/NEWS/20050924/221614/
最新のバージョンへ1日の遅れもなくバージョンアップしないと、ハッキング被害に遭う可能性が高くなった。
Firefoxのセキュリティ・ホールを突く危険なコードが出回る
米SANS Instituteなどは米国時間9月23日,Firefoxなどに見つかったセキュリティ・ホール「IDNバッファオーバーフロー問題」を突くコード(プログラム)がネット上で公開されているとして注意を呼びかけた。そのコードが含まれるページをFirefoxで閲覧すると,リモートからアクセス可能なシェルが起動され,攻撃者にパソコンを乗っ取られる可能性がある。9月23日に日本語版が公開されたFirefox 1.0.7ではこのセキュリティ・ホールは解消されている(関連記事)。
IDNバッファオーバーフロー問題を突くコード自体は,この問題の発見者により9月8日に公開されている(関連記事)。しかしながら,このとき公開されたコードは単純なもので,そのコードが含まれるWebページを閲覧するとFirefoxが不正終了するだけのものだった。
9月22日ごろから公開されているコードは,Firefox 1.0.6以前で読む込むと,リモートからアクセス可能なシェル(リモート・シェル)を勝手に起動されるというもの。リモート・シェルが起動されれば,攻撃者にそのパソコンを自由に操られる可能性がある。
IDNバッファオーバーフロー問題はNetscapeにも見つかっているが,現在公開されているコードはFirefox(Mozilla Suiteのブラウザ)に“最適化”されているという。ただしコードを改変すれば,Netscapeでも動作するようになる。
信頼できないWebサイトにアクセスしないことはもちろんだが,Firefoxユーザーはできるだけ早急にFirefox 1.0.7にアップグレードしたい。日本語版を公開しているMozilla Japanでも,「この脆弱性を利用した実証コードが公開されており,すべてのユーザに強くアップデートを推奨します」としている。
◎参考資料
◆Patch Mozilla ASAP(米SANS Institute) http://isc.sans.org/diary.php?storyid=700
◆Firefox 1.0.7 日本語版を公開(Mozilla Japan) http://www.mozilla-japan.org/products/firefox/
(勝村 幸博=ITPro)