パスワードを忘れた? アカウント作成
13550 story

FirefoxにJavaScript処理に関する 0-day の脆弱性 183

ストーリー by yoosee
さてどうしたものか→人騒がせな… 部門より

あるAnonymous Coward曰く、"本家で記事になってますが、Firefox に JavaScript の取り扱いについて深刻なセキュリティホールがあるそうです(CNET Japanの記事)。9月30日のToorCon ハッカーカンファレンスのプレゼンテーション での Mischa Spiegelmock 氏ならびに Andrew Wbeelsoi 氏のコメントによると、 攻撃者は対象クライアントのFirefoxに対し、悪意ある JavaScript コードを含む Web Page へ誘導することで、コンピュータを乗っ取ることができるとのこと。現在のところ patch などは無い 0-day の脆弱性のようです。"

(10月4日追記) CNET Japan の続報 によると、この脆弱性で コンピュータを乗っ取ることは出来ない とのこと。 この脆弱性を発表した Mischa Spiegelmock 氏が「このコードでできたのは、Firefoxをクラッシュさせることと、システム資源を消費しつくすことだけだ。これで誰かのコンピュータを乗っ取り、任意のコードを実行するには至っていない」事を告白したそうだ。
関連記事: スラッシュドット ジャパン | 「Firefoxの0-day脆弱性」はガセネタだった?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2006年10月03日 10時43分 (#1030688)
    用語「0 day」の用法を広げすぎです。
    「0 day」とは元々「0 day 攻撃」として使われてきた言葉です。
    つまり、未知の脆弱性がいきなり攻撃に実際に使われた場合を指します。

    今回のような、攻撃が起きていない段階で脆弱性が公表されたものを 0 day と呼ぶのは誤った用法です。
    脆弱性情報公表後3日後に攻撃が発生したものは、3 day 攻撃でしょう。
    • まあでも、タレコミ内のCNETの記事にある、
       
      ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。

      が本当だとすると、
      本当に「zero-day attack」が行われる(行われている?)可能性も否定はできないんですよね……
      親コメント
    • by Anonymous Coward on 2006年10月03日 14時37分 (#1030858)
      欧米圏でも「0-day exploit」という言葉が使われています。

      dayの基準は脆弱性情報の公開日ではなくパッチ(*1)の公開日です。 (パッチ公開日が1日)

      パッチよりも先に公開されてしまった脆弱性が「0-day exploit」(このタレコみでは「0-dayの脆弱性」)なので、
      別段おかしいところは無いと思います。

      *1) 正確には、修正された新バージョンなど根本的な解決がなされたもの全般。
      親コメント
    • 0day attackと言った場合、
      「脆弱性を発見した当日に、攻撃が行われる」
      とゆうニュアンスを感じます。
      だから、対策のない脆弱性に対して0dayという言葉を充てると
      「パッチが発表されるまで毎日が当日」とでも言うような、
      言葉としてのすわりの悪さがあるように思います。

      // だからと言って、元ac氏のように、三日後だから
      // 3days attackと言うべきだとまで言うのは、
      // やや原理主義に走った発想なのでは:)
      親コメント
  • 乙>all (スコア:5, 参考になる)

    by Motohiko (15295) on 2006年10月03日 18時29分 (#1030969) ホームページ

    A blog? with Σαιτω - 勧める責任 [hatena.ne.jp]

    見事に世界中みんなが釣られたようです。"われわれの会話の主目的はユーモアであった。" とか "未発見の 30 個の脆弱性なんて Firefox にはない。" とあり最後に "関係者のみなさん、ごめんなさい。" とあります。

  • 対処法 (スコア:4, 参考になる)

    by Cappuccino (20281) on 2006年10月03日 10時10分 (#1030665)
    >攻撃者は対象クライアントのFirefoxに対し、悪意ある JavaScript コードを含む Web Page へ誘導することで、コンピュータを乗っ取ることができる
    ・怪しいサイトに行かない(今更ですね)
    ・不要なサイトではJavaScriptを無効にする(NoScript [mozilla.org]とか使うと便利)
    ・Firefoxを使わない(極論)
    今のところできるのは、こんな対策くらいでしょうか。

    #スラド見てるような人は大丈夫なんだろうけど、Firefoxだから安全とか盲信してる人はハマるんだろうなぁ。根拠は何?と言いたくなる。
    • 根拠などありません (スコア:3, すばらしい洞察)

      by Livingdead (18685) on 2006年10月03日 10時17分 (#1030667) ホームページ 日記
      >Firefoxだから安全とか盲信してる人はハマるんだろうなぁ。根拠は何?

      根拠がないから盲信というのです。
      --
      屍体メモ [windy.cx]
      親コメント
      • Re:根拠などありません (スコア:2, すばらしい洞察)

        by hanetaro (21793) on 2006年10月03日 10時38分 (#1030683)
         盲信してる人は、自分が盲信してると思ってないので何かしら根拠はあるんですよ。
         傍から見ると根拠になってないだけで。
        親コメント
        • by shojin (28072) on 2006年10月03日 11時07分 (#1030711) 日記
          根拠にならない根拠というのを考えてみた。

          『IEじゃないから』
          『詳しい人が使っているから』
          『詳しい人に勧められたから』
          『詳しい人が安全だと言っていたから』
          『マイナーだから狙われにくい』
          『安全そうな気がするから』
          『ホームページに安全だと書いてあるから』

          道具を過信して身を危険に晒くらいならば、
          そんな道具等無い方が良い。とは思うけれど
          個人的な趣味で無知な初心者にFirefoxを
          勧めていたなぁ。(^^;
          親コメント
    • Re:対処法 (スコア:2, すばらしい洞察)

      by kawaz (15398) on 2006年10月03日 10時20分 (#1030670) ホームページ
      >・怪しいサイトに行かない(今更ですね)

      怪しいサイトに行かないって言うのはよく言われますが、リンクで誘導される先をURLだけ見て全て危険・安全を判断するってのは実際には難しいと思いますよ?(基本的に常時 JavaScript をoffにするほど神経質な人なら大丈夫かもしれませんが)

      例えばタレコミにあるリンク先が既に攻撃用サイトだったらここにいる人たちのどれくらいの人が防げるだろうか?
      本家やCNET辺りならURL見て一応悪意はなさそうなサイトに見えますが、「ToorCon ハッカーカンファレンスのプレゼン」と称してリンクされた先は殆どの人が素性を知らないと思われるURLですし。ここに攻撃コードが仕込まれている可能性もあるわけですから。

      相手に合わせた高度なソーシャルハッキングを完璧に防ぐことは非常に難しいと思い知らされます。
      親コメント
      • by typer (9666) on 2006年10月03日 11時25分 (#1030729) 日記
        > 怪しいサイトに行かないって言うのはよく言われますが、リンクで誘導される先をURLだけ見て全て危険・安全を判断するってのは実際には難しいと思いますよ?(基本的に常時 JavaScript をoffにするほど神経質な人なら大丈夫かもしれませんが)

        私の場合、「URLだけ見て全て危険・安全を判断するってのは実際には難しい」ので「基本的に常時 JavaScript をoffに」してたわけですが。というか、「調べる手間、行かない不便」より「JavaScriptをoffにする不便」の方が圧倒的に少ないと思ってますので。
        #一昔前なら、いざという時も人間インタプリタで間に合う程度だったし

        ただ、最近はajaxとか、本当に便利な機能があったりするのでNoScript入れました。それでわかったのは、javascriptが必要なサイトは10程度、後はbookmarkletとかgreasemonkeyとか、ユーザサイドの物を活用すれば大概いけるって事ですか。
        親コメント
  • by Anonymous Coward on 2006年10月03日 11時57分 (#1030759)
    CNET Japanの記事 [cnet.com]にある発見者のSpiegelmock氏の話では、「FirefoxのJavaScript実装はまったく無秩序パッチを当てることは不可能」だそうです。

    MozillaのセキュリティチーフWindow Snyder氏も、「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と認めているように、修正は容易ではないようです。

    Firefoxを使い続けるのは、自己責任ということになるかもしれません。
    人に勧めてFirefoxに乗り換えさせた人は、その人に対する責任を負う覚悟はあったんですよね。

  • by bg (31226) on 2006年10月03日 13時38分 (#1030827)
    CNETの記事より、

    ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。

    要するにいつでもMozillaを強請れるネタを持ってるぞ、と?
    --
    ――――――――――― バグは金也("Y"enBug)
  • もういくつか (スコア:1, 参考になる)

    by Anonymous Coward on 2006年10月03日 13時10分 (#1030805)
    コード修正が行われてテスト中なので、数日中にUpdateが出るんじゃなかろうか。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...