silvervine (12840) の日記
原文:Hackers Reportedly Working to Exploit IDN Link Buffer Overflow, Tom Ferris Claims New Flaw -- Thursday September 15th, 2005
CNET News.com が報じるところによると、セキュリティ研究家が、先週 Tom Ferris が暴露した Mozilla のセキュリティ欠陥を悪用する方法を見つけたと主張している とのこと (日本語の記事)。Ferris が 国際ドメイン名 (IDN) リンクバッファオーバーフローによる脆弱性 の詳細を公開した際、彼は Mozilla Firefox (および その他の関連アプリケーション) をクラッシュさせる POF 【訳注:proof of concept:概念実証】 コードをを含めていたが、それ以上に危険な動作はしないようになっていた。しかし、Ferris は自身の POF の派生版を作成し、任意のコードを実行できるようになったと主張し、さらには Berend-Jan Wever を含む他の研究家らも独自にエクスプロイトコードを開発したと報告している。Wever は、彼のコードはわずか 3 時間半で作成できたと主張している。
Ferris も Wever も、作成したコードは公開していないが、News.com の記事では悪意のある攻撃者も、脆弱性を悪用する攻撃方法を開発することにかけてはセキュリティ研究家から大きく遅れをとっているわけではないと警告をしている。Ferris は、数人から彼が開発したコードについて尋ねるメールを受け取ったと語ったとされている。「このことから、トロイの木馬の作者がヒントを求めている事がわかる」と彼は語った。
セキュリティ脆弱性が公開されてから 2 日経った先週の金曜日に、Mozilla Foundaiton は IDN のサポートを無効化する回避用パッチを公開し、バグを含んだコードが実行されないようにした。より根本的な修正では、IDN サポートを無効化することなくセキュリティリスクを解消するもので、すでに開発が完了し、数日以内に Mozilla Firefox 1.0.7 および Mozilla 1.7.12 としてリリースされる予定だ。昨日、テスト目的で Firefox 1.0.7 および Mozilla 1.7.12 のリリース候補が公開されている。
News.com は 予定されている Firefox 1.0.7 および Mozilla 1.7.12 リリースに関するレポート (この一週間に同欠陥について関連する 4 つ目の記事) を掲載し、その中で Mozilla Foundation の主任エンジニアである Mike Schroepfer のコメントを掲載している。同記事ではまた、Ferris が Firefox 1.5 Beta 1 にも関連する脆弱性を発見したと主張している (ただし Firefox 1.0.6 以前には触れていない) と述べている。その欠陥は IDN のサポートを無効化するパッチを当てても存在するとのことだ。彼は Security Protocols ウェブサイトにアドバイザリを投稿し、その問題を Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow 【訳注:Mozilla Firefox 1.5 Beta 1 IDN バッファオーバーフロー】 というかたちで言及している。しかし、bug 307259 に寄せられた複数のコメントによると、IDN 関連の欠陥と表面的には似たテストケースではあるものの、これはまったく別の問題だとのことだ。この別のバグとは、セキュリティ面ではさほど心配のなく、単なるクラッシュを引き起こすものだと考えられるが、すでに bug 308579 として報告されている。同バグは bug 307875 の重複バグであるとされている。
Ferris が Mozilla のバグを間違って特定したのはこれが初めてではない。彼の IDN の欠陥に関するもともとの報告では、実際にはバッファオーバーフローであるのにもかかわらず、format string vulnerability であると述べている。彼の報告は即座に Mozilla のエンジニアによって訂正されている ( Mozilla Firefox "Host:" Buffer Overflow 【訳注:Mozilla Firefox 「Host:」 バッファオーバーフロー】 アドバイザリの中でほとんど丸写しするかたちで分析をコピーした際に自身をクレジットし忘れている)。さらに、Ferris はバグ報告を実際に登録する二日前にその欠陥を見つけたと主張している。彼はまた、Mozilla Foundation に修正方法の開発を時間を与えないままに IDN に関する欠陥の詳細を公開したことで、セキュリティコミュニティの多くから批判されてもいる。