「Firefox 3.5」にゼロデイ攻撃に悪用可能な脆弱性--モジラ報告

文:Tom Espiner(ZDNet UK) 翻訳校正:矢倉美登里、長谷睦2009年07月16日 12時38分

 ウェブブラウザ「Firefox 3.5」にJavaScriptに関する深刻な脆弱性が存在すると、Mozillaが発表した。

 この脆弱性は、ゼロデイ攻撃に悪用される恐れがあり、Firefox 3.5のジャストインタイム(JIT)JavaScriptコンパイラに存在する。Mozillaは米国時間7月15日付のセキュリティブログへの投稿で、この脆弱性を突く概念実証コードはすでにセキュリティ研究グループによってオンラインに公開されていると認めている。セキュリティ企業のSecuniaは同日、この脆弱性の深刻度を「きわめて深刻(highly critical)」と評価した。

 Mozillaによると、このセキュリティホールを突けば、ハッカーは「ドライブバイ攻撃」を仕掛けることができるという。つまり、ユーザーが攻撃コードを含んだウェブサイトを訪問すれば、攻撃者は標的としたマシンで悪意あるコードを実行できる可能性があるということだ。

 パッチは今のところリリースされていないが、Mozillaの開発者が修正の作成を行っている。ブログ投稿で勧告されている当面の回避策は、Firefox 3.5のJITコンパイラを無効にするというものだ。ただし、JITコンパイラを無効にするとFirefoxでのJavaScriptのパフォーマンスが低下すると、Mozillaでは警告している。

 JITコンパイラは6月末にリリースされたFirefox 3.5で新たに同ブラウザに加えられたJavaScriptエンジン「TraceMonkey」の一部だ。Firefox 3.5ではそれまでのバージョンに比べて高速化が図られているが、TraceMonkeyはブラウザの最適化を意図したものだと、Mozillaでは説明している。

 米コンピュータ緊急事態対策チーム(US-CERT)は15日、ユーザーおよび管理者はFirefox 3.5のJavaScript機能を完全に無効化すべきだと表明した。

 Sans Instituteも、JavaScriptを無効にすることは可能だと述べ、信頼できるウェブサイトによるスクリプトのみを実行可能にするオープンソースのFirefoxプラグイン「NoScript」の使用を勧めている。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]