米US-CERTの<a href=
べいUS-CERTの<a href="http://www.us-cert.gov/cas/techalerts/TA06-038A.html" target=_blank>Technical Cyber Security Alert</a>
[画像がぞうのクリックで拡大かくだい表示ひょうじ]

 べいSANS Instituteは現地げんち時間じかん2がつ7にち,Webブラウザ「Firefox」のセキュリティ・ホールをくプログラムがネットじょう公開こうかいされているとして注意ちゅういびかけた。プログラムを悪用あくようされると,Firefoxが稼働かどうするマシンじょう任意にんいのプログラムを実行じっこうされるおそれがある。対策たいさくは,修正しゅうせいみのFirefox 1.5.0.1にバージョンアップすること。JavaScriptを無効むこうにすることでも回避かいひできる。

 公開こうかいされているプログラム(Exploit)がくセキュリティ・ホールは,「Location および Navigator オブジェクトじょうでの QueryInterface を使つかったメモリ破壊はかい。これは,べいMozilla Foundationが米国べいこく時間じかん2がつ1にち公表こうひょうしたMozilla製品せいひん関連かんれんのセキュリティ・ホールのひとつである(関連かんれん記事きじ)。

 Mozilla Foundationの情報じょうほうMozilla Japanによる日本語にほんごやく)によれば,このセキュリティ・ホールはQueryInterfaceメソッドにかんするもの。みオブジェクトのLocationおよびNavigatorでQueryInterfaceメソッドをすと,任意にんいのプログラムを実行じっこうできるようなメモリー破壊はかい発生はっせいするという。

 今回こんかい公開こうかいされたプログラムはFirefoxを対象たいしょうとしたものだが,ThunderbirdとSeaMonkeyにも同様どうようのセキュリティ・ホールが存在そんざいする。

 ただしMozilla Foundationでは,このセキュリティ・ホールは「Firefox 1.5 および SeaMonkey 1.0 の開発かいはつ期間きかんちゅうにまぎれんだもので,Firefox 1.0 や Mozilla Suite 1.7 以前いぜんのバージョンには影響えいきょうしないとおもわれる」としている。デンマークSecuniaなどでは,このセキュリティ・ホールの影響えいきょうけるのは,Firefox 1.5およびThunderbird 1.5としている。バージョン1.0よりもふるいSeaMonkeyも影響えいきょうける(1.0はのぞく)。

 対策たいさくは,セキュリティ・ホールを修正しゅうせいしたFirefox 1.5.0.1やSeaMonkey 1.0にバージョンアップすること。これらのバージョンでは,「Location および Navigator オブジェクトじょうでの QueryInterface を使つかったメモリ破壊はかい以外いがい危険きけんなセキュリティ・ホールも修正しゅうせいされているので,できるだけバージョンアップしたい。

 修正しゅうせいばん公開こうかいのThunderbirdでは,JavaScriptを無効むこうにすることが回避かいひさくとなる。デフォルトでは無効むこうになっているので,設定せってい変更へんこうしていなければ影響えいきょうけない。

 セキュリティ組織そしきべいUS-CERTも現地げんち時間じかん2がつ7にちけで,「Firefox 1.5.0.1やSeaMonkey 1.0へアップグレードすること」「修正しゅうせいばんがリリースされていないMozilla製品せいひんではJavaScriptを無効むこうにすること」をつよすすめている。

参考さんこう資料しりょう
Update Firefox to 1.5.0.1, the exploit is outべいSANS Institute)
Multiple Vulnerabilities in Mozilla ProductsべいUS-CERT)
Mozilla Foundation セキュリティアドバイザリ 2006-04 Location および Navigator オブジェクトじょうでの QueryInterface を使つかったメモリ破壊はかい(Mozilla Japan)
Firefox Multiple Vulnerabilities(デンマークSecunia)