デンマークSecuniaなどは現地時間9月20日,Linux版Firefox(Firefox for Linux)に見つかったセキュリティ・ホールを公表した。細工が施されたURL(リンク)をFirefoxで読み込むと,URLに仕込まれた任意のシェル・コマンドを実行させられる可能性がある。セキュリティ・ホールを修正したバージョンは未公開。ソース・コードのパッチは「Bugzilla」で公開されている。Secuniaでは,Firefoxを利用するアプリケーション(例えば,Evolution)ではリンクを開かないことを回避策として挙げている。
【9月21日追記】米Mozilla Foundationは米国時間9月21日,今回のセキュリティ・ホールを修正したFirefox 1.0.7をリリースした(関連記事)。現時点(9月21日15時)では英語版のみ公開している。【以上,9月21日追記】Secuniaでは今回のセキュリティ・ホールの危険度(深刻度)を,最も危険な「Extremely critical」に設定している。加えて同社では, Fedora Core 4およびRed Hat Enterprise Linux 4上のFirefox 1.0.6で今回のセキュリティ・ホールを確認している。しかしながら,他のLinuxプラットフォームで稼働する他のバージョンでも同じように影響を受けるだろうとしている。
今回のセキュリティ・ホールは,Firefoxが入力チェックを適切に実施しないことが原因。シェル・コマンドが仕込まれたURLを読み込むと,警告などを発することなく,そのコマンドを実行する可能性がある。
ただし,Firefoxで細工が施されたURL(リンク)をクリックしても,仕込まれたシェル・コマンドが実行されることはない。コマンド・ラインあるいは別のアプリケーションから読み込まされた場合のみ,仕込まれたコマンドを実行する。
例えば,「# firefox <細工が施されたURL>」(#はプロンプト)とすると,URLに仕込まれたコマンドを実行してしまう。同様に,EvolutionなどのFirefoxを利用するアプリケーション経由で,細工が施されたURLをFirefoxに読み込まされた場合にも,任意のコマンドを実行させられる恐れがある。このためSecuniaでは,外部のアプリケーションからFirefoxでリンクを開かせないこと(Do not open links in Firefox from external applications)を回避策として挙げている。
◎参考資料
◆Firefox Command Line URL Shell Command Injection(Secunia)
◆Mozilla Firefox Command Line URL Parsing Code Execution Issue(FrSIRT)
◆Bugzilla Bug 307185 URLs passed on the command line are parsed by the shell (bash).