ハッカーが Firefox ブラウザへの攻撃に使用できるコードをリリースしてからわずか数日後、Mozilla の開発者は修正プログラムを公開しました。
同社は金曜日の午後、主力ブラウザのアップデート版 3.0.8 をリリースした。これはコードが Milw0rm Web サイトに掲載されてからわずか 2 日後であり、修正が約束されていたよりも早い。
このアップデートでは、先週、調査会社TippingPointがハッカーから入手したバグも修正されています。このバグは、CanSecWestセキュリティカンファレンスで開催された同社のPwn2Ownコンテストで優勝した際にハッカーが利用したものです。このバグは、ファーストネームのNils氏だけを名乗ったドイツ人ハッカーが利用した3つのバグのうちの1つで、賞金として1万5000ドルの現金とノートパソコンを獲得したと主張しています。
Mozillaの開発者たちは、今回のリリースを「ゼロデイ」エクスプロイトと呼ばれる攻撃コードを受けて「緊急対応型セキュリティアップデート」と位置付けていた。テスト完了には来週初めまでかかると予想されていたため、迅速な対応が功を奏した。
Mozillaは、どちらのバグも「重大」だと述べている。
Nils氏の脆弱性は、Firefoxのルーチン「_moveToEdgeShift」のバグを悪用したものでした。彼はこの脆弱性を利用してMac OS X上で動作するブラウザをハッキングしましたが、他のプラットフォームにも影響を与える可能性があります。
もう 1 つの欠陥は、ブラウザが XSL (Extensible Stylesheet Language) スタイルシートを処理する方法に関係しており、すべてのオペレーティング システム上の Firefox に影響し、Seamonkey インターネット アプリケーションにも影響します。
これらのバグはいずれも、悪意のあるコードが埋め込まれたウェブページを被害者に閲覧させることで悪用される可能性があり、攻撃者は被害者のシステムに不正なソフトウェアをインストールすることができます。ドライブバイダウンロードと呼ばれるこの種のウェブベースのマルウェアは、近年ますます蔓延しています。
Firefox の次のアップデート 3.0.9 は 4 月 21 日にリリースされる予定です。
