「Firefox」の最新バージョン1.5 ベータ1が公開されたばかりですが、その最新版を含む同ブラウザーにDoS攻撃を誘発する極めて深刻な脆弱性が発見されたそうです。
問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。同氏はWindows/Linux版のバージョン1.0.6で、この脆弱性を確認。さらに、SecuniaやFrSIRTのアドバイザリーによると、Mozilla 1.7.11、Netscape 8.0.3.3/7.2にも同様の脆弱性が存在するとのこと。
Mozilla Foundationは、9日、この脆弱性の対応策を公表。
エラーが存在する国際化ドメイン名(IDN)処理(デフォルトでは有効になっている)を無効にするための暫定パッチで、Firefox 1.0.6/1.0.6.1およびMozilla 1.7.11/1.7.11.1に対応している。また、手動でIDNを無効にするよう設定(network.enableIDN)を変更しても問題は避けられるという。Mozilla Foundationの脆弱性対応策のページ(英語)は(☞´∀`)☞コチラ!!
ただし、このパッチが日本語版に対応するかは???です。ご注意を!!
記事には対策がとれない場合、「信頼できないWebサイトを訪れないようにして自衛するしかない」としています。
(追 記):2005年09月12日
Mozilla Foundation(日本語)ページでも脆弱性の対応策が掲載されてました。どうやら、上記の修正パッチも日本語版にも対応してるようです。 ▼
・ Firefox および Mozilla Suite のセキュリティ脆弱性 (IDN バッファオーバーフロー問題) に関するお知らせ
ITmedia
・ Firefoxに極めて重大な脆弱性
関連記事:INTERNET Watch
・ Firefoxに国際化ドメイン名の処理に起因する脆弱性、修正パッチを公開
いどばた.infoの「Firefox」関連記事
・ Mozilla 次期「Firefox」の”v1.5 Beta 1” 英語版を公開!など
