| Tweet |
FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も
http://japan.cnet.com/news/sec/story/0,2000056024,20256207,00.htm
サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。
Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。
普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コードについて概説したスライドを見せながら、説明を加えた。
この脆弱性はFirefoxのJavaScript実装によるものだ。JavaScriptは10年前に作られたスクリプト言語で、ウェブで広く用いられている。しかし、Spiegelmock氏によると、プログラムに仕掛けをしてスタックオーバーフローを起こすのにとりわけ使えるという。同氏によると、FirefoxのJavaScript実装は「まったく無秩序」で「パッチを当てることは不可能」だという。
MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、JavaScript関連の脆弱性は事実であるようだと述べ「彼らが説明しているのは、古い攻撃の亜種かもしれない。調査を開始する」とした。
同氏は、プレゼンテーションで脆弱性の悪用方法が紹介されたことに不快感を示し「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。これはユーザを危険にさらす行為であり、不幸なことだと思うが、脆弱性の情報を広めることが彼らの目的であるようだ」と述べた。
同氏は、Mozillaの側でも、脆弱性を修正するのに十分なデータをプレゼンテーションで得ただろうとしつつ、ブラウザでJavaScriptを扱う部分に脆弱性の可能性があるようなので、平均的なパッチに比べて解決が困難かもしれないと付け加えた。同氏は「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と述べた。
ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。