Mozilla Firefox Two Vulnerabilities - Advisories - Secunia コメントを見る
Two vulnerabilities have been discovered in Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks and compromise a user's system.
Firefoxに2件の「非常に重大な」脆弱性が発覚:ニュース - CNET Japan コメントを見る
人気のFirefoxブラウザに2つの脆弱性が見つかり、いずれも「非常に重大」と評価された。これらの脆弱性のエクスプロイトコードが出回っているためだ。

Firefoxに二つの"Extremely critical"(重大な脆弱性/5段階中5)が見つかったと、セキュリティ会社Secuniaが発表しました。既にエクスプロイトコードが公開されているため公表したとか。
(追記:Firefox 1.04の公開に伴い"Highly critical"(5段階中の4)に引き下げられたようです)

今回見つかった脆弱性は、"IFRAMEのJavaScript URL"に関わるものと"InstallTrigger.install()" に関わるもので、両者とFirefoxのソフトウェアのインストール機能の組み合わせによっては悪質なプログラムのインストールが可能となるもの。
JavaScriptとソフトウェアインストールを無効にすることによりこの問題は回避できるとか。なお、このエクスプロイトコードを利用した攻撃はまだ確認されていないとか。

この問題に対応したFirefox 1.04のリリースが予定されています。

先日5000万ダウンロードを達成したFirefoxですが、その人気の高まりに応じ、厳しい目にさらされることが多くなったようです。また、攻撃のターゲットとしても浮上しつつあるのか?システムと一体化しているIEに比べればまだ安全だと思いますが、今が正念場かもしれません。

"Exploit code"エクスプロイトコードとは?

(AT&T Knowledge zone)からの引用)
プログラムで見つかったセキュリティホールに対して実際に攻撃されたときに、どのようなことが行えるかを実証するツールをエクスプロイトコードと呼びます。エクスプロイトコードを紹介するサイトは数多くあり、誰でも簡単にコードを使用できるようになっている。先ほどのフルディスクロージャーの考えに基づいて、さまざまコードが公開されています。当然これらは使用する人次第で攻撃ツールにもセキュリティ診断ツールにもなり得ます。さきほどのウイルス作者やハッカーがその高いスキルによって職を得たように、セキュリティの世界ではスキルやツールも諸刃の剣なのです。

Get Firefox!

Tag: