米US-CERTの<a href="http://www.us-cert.gov/cas/techalerts/TA06-038A.html" target=_blank>Technical Cyber Security Alert</a>
米US-CERTの<a href="http://www.us-cert.gov/cas/techalerts/TA06-038A.html" target=_blank>Technical Cyber Security Alert</a>
[画像のクリックで拡大表示]

 米SANS Instituteは現地時間2月7日,Webブラウザ「Firefox」のセキュリティ・ホールを突くプログラムがネット上で公開されているとして注意を呼びかけた。プログラムを悪用されると,Firefoxが稼働するマシン上で任意のプログラムを実行される恐れがある。対策は,修正済みのFirefox 1.5.0.1にバージョンアップすること。JavaScriptを無効にすることでも回避できる。

 公開されているプログラム(Exploit)が突くセキュリティ・ホールは,「Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊」。これは,米Mozilla Foundationが米国時間2月1日に公表したMozilla製品関連のセキュリティ・ホールの一つである(関連記事)。

 Mozilla Foundationの情報Mozilla Japanによる日本語訳)によれば,このセキュリティ・ホールはQueryInterfaceメソッドに関するもの。組み込みオブジェクトのLocationおよびNavigatorでQueryInterfaceメソッドを呼び出すと,任意のプログラムを実行できるようなメモリー破壊が発生するという。

 今回公開されたプログラムはFirefoxを対象としたものだが,ThunderbirdとSeaMonkeyにも同様のセキュリティ・ホールが存在する。

 ただしMozilla Foundationでは,このセキュリティ・ホールは「Firefox 1.5 および SeaMonkey 1.0 の開発期間中にまぎれ込んだもので,Firefox 1.0 や Mozilla Suite 1.7 以前のバージョンには影響しないと思われる」としている。デンマークSecuniaなどでは,このセキュリティ・ホールの影響を受けるのは,Firefox 1.5およびThunderbird 1.5としている。バージョン1.0よりも古いSeaMonkeyも影響を受ける(1.0は除く)。

 対策は,セキュリティ・ホールを修正したFirefox 1.5.0.1やSeaMonkey 1.0にバージョンアップすること。これらのバージョンでは,「Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊」以外の危険なセキュリティ・ホールも修正されているので,できるだけバージョンアップしたい。

 修正版が未公開のThunderbirdでは,JavaScriptを無効にすることが回避策となる。デフォルトでは無効になっているので,設定変更していなければ影響を受けない。

 セキュリティ組織の米US-CERTも現地時間2月7日付けで,「Firefox 1.5.0.1やSeaMonkey 1.0へアップグレードすること」「修正版がリリースされていないMozilla製品ではJavaScriptを無効にすること」を強く勧めている。

◎参考資料
Update Firefox to 1.5.0.1, the exploit is out(米SANS Institute)
Multiple Vulnerabilities in Mozilla Products(米US-CERT)
Mozilla Foundation セキュリティアドバイザリ 2006-04 Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊(Mozilla Japan)
Firefox Multiple Vulnerabilities(デンマークSecunia)