米Mozilla Foundationは米国時間3月23日,Webブラウザ「Firefox」の最新版であるFirefox 1.0.2をリリースした(関連記事)。最新版では複数のセキュリティ・ホールが修正された。そのうちの一つは,細工が施されたGIF画像を読み込むだけで任意のプログラムを実行させられる危険なセキュリティ・ホールである。Mozilla Foundationでは,ユーザーに対してアップデートするよう勧めている。
同様のセキュリティ・ホールは「Thunderbird」と「Mozilla」にも見つかっているが,米国時間3月21日に公開された最新版Thunderbird 1.0.2とMozilla 1.7.6で解消されている(関連記事)。
Mozilla Japanの情報によると,Firefox 1.0.2で修正されたセキュリティ・ホールは以下の3種類。
(1)[MFSA 2005-32] ドラッグ&ドロップによって特権付き XUL ファイルが読み込まれる
(2)[MFSA 2005-31] Firefox のサイドバーパネルを通じて任意のコードが実行される
(3)[MFSA 2005-30] Netscape Extension 2 を含む GIF 画像の処理過程でヒープオーバーフローが生じる
(3)は,Mozilla製品に含まれるGIF画像処理用ライブラリに見つかったセキュリティ・ホール。米Internet Security Systemsが発見した。同ライブラリにはバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたGIF画像を読む込むと,その画像ファイルに仕込まれた悪質なプログラムを実行させられる。そのようなGIF画像へのリンクが仕込まれたHTMLファイル(WebページやHTMLメール)を開くだけでも被害を受ける可能性がある。
Mozilla Foundationでは,Firefox 1.0.2のリリース時には,このセキュリティ・ホールを突くプログラムが出回っていることは確認していない(No known exploits of the bug have been reported prior to the update's release) としているが,危険なセキュリティ・ホールであることは間違いない。ユーザーはできるだけ早急に対応したい。Mozilla Foundationでも,(3)の「Severity(重要度)」と「Risk(危険度)」を,それぞれ「Critical(最高)」および「High(高)」に設定している。
なお,今回セキュリティ・ホールが見つかったGIF画像処理用ライブラリはThunderbirdとMozillaにも含まれる。このため,ThunderbirdとMozillaの古いバージョンも(3)の影響を受ける。最新版Thunderbird 1.0.2とMozilla 1.7.6では解消されているので,これらのユーザーも,できるだけ早急にバージョンアップしたい。いずれの日本語版についても,Mozilla Japanなどのサイトからダウンロードできる。
◎参考資料
◆MOZILLA FOUNDATION RELEASES SECURITY UPDATE TO FIREFOX(米Mozilla Foundation)
◆Mozilla Foundation Security Advisory 2005-30 GIF heap overflow parsing Netscape extension 2
◆Known Vulnerabilities in Mozilla Firefox
◆Mozilla Foundation セキュリティアドバイザリ 2005-30 Netscape Extension 2 を含む GIF 画像の処理過程でヒープオーバーフローが生じる(Mozilla Japan)
◆Mozilla における既知の脆弱性 Firefox
◆Mozilla Foundation GIF Overflow(米Internet Security Systems)
(勝村 幸博=IT Pro)