Mozilla Foundationは9月9日(現地時間),オープンソースのWebブラウザMozilla Firefoxの任意のコードの実行が可能なセキュリティ・ホールについて報告した。このセキュリティ・ホールは最新バージョンであるFirefox 1.0.6,同日公開されたばかりの最新ベータであるFirefox 1.5 Beta 1に存在する。対策は,パッチを適用することなど。

 このセキュリティ・ホールは「IDNバッファ・オーバーフロー問題」と呼ばれる。IDN(Internationalized Domain Name,国際化ドメイン名)は,日本語などの多言語でドメイン名を指定する仕組みのこと。セキュリティ・ホールは,IDNで複数のダッシュを含むリンクの扱う際の欠陥に起因するという。ユーザーのパソコン上で任意のコードを実行でき,ウイルスやボットの感染,フィッシングなどに悪用される恐れがある。

 この問題は,Mozilla Application Suite 1.7.11,Netscape Browser 8.0にも存在するという。

 公式Blog「Mozillazine」の投稿によれば,この問題はセキュリティ研究者Tom Ferris氏が発見し,9月8日WebサイトのSecurity Protocolsで公開された。パソコンをクラッシュさせる実証コードとともに掲載されている。

 日本時間9月10日現在,Mozilla Foundationから,対策プログラムが公開されている。ただしこのプログラムは問題を修正するものではなく,問題となった機能「IDNサポート」を無効化するもの。ユーザー・エージェント文字列に“(noIDN)”を付加する拡張機能(エクステンション)である。日本語版にも適用できる。問題の修正は,改めてFirefox 1.0.6.1,Mozilla Application Suite1.7.11.1として公開される見込みだ。

 またMozilla Foundationのサイトに手動でIDNを無効化する方法も掲載されている。

 Mozillazineによれば,この問題は9月6日にMozilla Foundationに報告された。米メディアの報道によると,報告者のTom Ferris氏とMozilla Foundationの間にトラブルがあっため,Ferris氏はパッチの存在しない状況でセキュリティ・ホールを公開したという(米CNET News.comの記事)。

◎関連資料
IDN バッファオーバーフローのセキュリティ問題についてFirefox および Mozilla Suite ユーザが知っておくべきこと(Mozilla Japan)
What Firefox and Mozilla users should know about the IDN buffer overflow security issue(Mozilla Foundation)
任意のコードの実行が可能な Mozilla Firefox のリンクバッファオーバーフロー(Mozillazine 日本語版)
Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution(Mozillazine)
Mozilla Firefox ''Host:'' Buffer Overflow(Security-Protocols)
Mozilla Browsers "Host:" Parameter Remote Buffer Overflow (FrSIRT)