fmemo

■ Mozilla Firefox に 任意のコードが実行される脆弱性

Mozilla Firefox など Mozilla 系ウェブブラウザに任意のコードが実行される脆弱性が発見・公表されている模様。

Slashdot Japan の記事などによると、今回の脆弱性は IDN (国際化ドメイン名)の処理に問題があるため、攻撃者によりシステム上の任意のコードを実行される危険性がある、とし、 Firefox では 1.0.6 以前のバージョンと 1.5 beta 1 で今回の脆弱性の影響を受ける、とされているようだ。

ちなみに、 Security-Protocols のアドバイザリを見るとわかるように、攻撃コードは極めて単純。攻撃の敷居が低い。

なお、現在公開されている対策としては、

IDN サポートを無効にする

1. アドレスバーに「about:config」を入力して設定画面にアクセスする。
2. Filter: に「network.enableIDN」と入力して項目を絞り込む。
3. 当該 Preference Name をダブルクリック(or 選択後 Enter キーを押下する or 右クリック後 Toggle する)して、 Value を「false」に変更する。
4. Firefox を再起動する。

対策パッチをインストールする

1. <https://addons.mozilla.org/messages/307259.html> の内容にしたがってパッチをインストールする。
2. Firefox を再起動する。

がある。 Firefox ユーザは早急に対策を。

情報源/参考情報

• mozilla.org
  • Mozilla Update
    • What Firefox and Mozilla users should know about the IDN buffer overflow security issue
• Security-Protocols
  • Advisories - Mozilla Firefox ''Host:'' Buffer Overflow
• mozillaZine
  • Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution
• Slashdot Japan
  • Firefox にバッファオーバーフローによる新たな脆弱性
• ITmedia
  • Firefox に極めて重大な脆弱性

■ 著作権・商標・登録商標 & プライバシーポリシー 微修正

「著作権・商標・登録商標」のページと「プライバシーポリシー」のページを、それぞれ微修正。

著作権・商標・登録商標

• fblog の追加、および Trackback 機能の有効化に伴なう記述を追記し、「ツッコミ(コメント), Trackback の著作権」にサブタイトルを変更。
• World Wide Web Consortium の The W3C Markup Validation Service および The W3C CSS Validation Service 経由で使用しているバナーに関する記述を「W3C 関連のイメージファイルの権利」以下に追記。

プライバシーポリシー

• fblog の追加に伴なう記述を追記 & サブタイトルの変更。