Mozilla Foundationは9月9日(現地時間),オープンソースのWebブラウザMozilla Firefoxの任意のコードの実行が可能なセキュリティ・ホールについて報告した。このセキュリティ・ホールは最新バージョンであるFirefox 1.0.6,同日公開されたばかりの最新ベータであるFirefox 1.5 Beta 1に存在する。対策は,パッチを適用することなど。
このセキュリティ・ホールは「IDNバッファ・オーバーフロー問題」と呼ばれる。IDN(Internationalized Domain Name,国際化ドメイン名)は,日本語などの多言語でドメイン名を指定する仕組みのこと。セキュリティ・ホールは,IDNで複数のダッシュを含むリンクの扱う際の欠陥に起因するという。ユーザーのパソコン上で任意のコードを実行でき,ウイルスやボットの感染,フィッシングなどに悪用される恐れがある。
この問題は,Mozilla Application Suite 1.7.11,Netscape Browser 8.0にも存在するという。
公式Blog「Mozillazine」の投稿によれば,この問題はセキュリティ研究者Tom Ferris氏が発見し,9月8日WebサイトのSecurity Protocolsで公開された。パソコンをクラッシュさせる実証コードとともに掲載されている。
日本時間9月10日現在,Mozilla Foundationから,対策プログラムが公開されている。ただしこのプログラムは問題を修正するものではなく,問題となった機能「IDNサポート」を無効化するもの。ユーザー・エージェント文字列に“(noIDN)”を付加する拡張機能(エクステンション)である。日本語版にも適用できる。問題の修正は,改めてFirefox 1.0.6.1,Mozilla Application Suite1.7.11.1として公開される見込みだ。
またMozilla Foundationのサイトに手動でIDNを無効化する方法も掲載されている。
Mozillazineによれば,この問題は9月6日にMozilla Foundationに報告された。米メディアの報道によると,報告者のTom Ferris氏とMozilla Foundationの間にトラブルがあっため,Ferris氏はパッチの存在しない状況でセキュリティ・ホールを公開したという(米CNET News.comの記事)。
◎関連資料
◆IDN バッファオーバーフローのセキュリティ問題についてFirefox および Mozilla Suite ユーザが知っておくべきこと(Mozilla Japan)
◆What Firefox and Mozilla users should know about the IDN buffer overflow security issue(Mozilla Foundation)
◆任意のコードの実行が可能な Mozilla Firefox のリンクバッファオーバーフロー(Mozillazine 日本語版)
◆Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution(Mozillazine)
◆Mozilla Firefox ''Host:'' Buffer Overflow(Security-Protocols)
◆Mozilla Browsers "Host:" Parameter Remote Buffer Overflow (FrSIRT)