パスワードを忘れた? アカウント作成
13940451 story
Firefox

Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる 35

ストーリー by headless
攻撃 部門より
Mozillaは18日、Firefoxの脆弱性(CVE-2019-11707)を公表し、修正版のFirefox 67.0.3/ESR 60.7.1をリリースした(MozillaのセキュリティアドバイザリCISのセキュリティアドバイザリHacker Noonの記事Android Policeの記事)。

脆弱性はArray.popにおける型の取り違えの脆弱性で、JavaScriptオブジェクトを操作する際に発生する。これにより、攻撃に利用可能なクラッシュを引き起こすことができ、成功すれば任意コード実行が可能になるという。Mozillaではこの脆弱性を悪用したターゲット型の攻撃を既に確認しているとのこと。

報告者のSamuel Groß氏(Google Project Zero)のツイートによると、脆弱性を発見して4月15日にMozillaへ報告したが、攻撃の具体的な内容については知らないそうだ。報告者として併記されているCoinbase Securityが何らかの攻撃を確認した可能性もあるが、この時点ではCoinbase側から特に情報は出ていなかった。

さらに20日、Mozillaはサンドボックス迂回の脆弱性(CVE-2019-11708)を修正するFirefox 67.0.4/ESR 60.7.2をリリースした。この脆弱性は親プロセスと子プロセス間のIPCメッセージ「Prompt:Open」で渡されるパラメーターのチェックが不十分なことにより、侵害された子プロセスが選んだWebコンテンツをサンドボックス化されていない親プロセスが開いてしまうというもの。他の脆弱性と組み合わせることで任意コード実行が可能になるとのこと(Mozillaのセキュリティアドバイザリ[2])。

CoinbaseのPhilip Martin氏によると、これら2つの脆弱性を組み合わせた攻撃が同社従業員をターゲットに実行されていることを17日に検出し、ブロックしていたという。また、元NSAハッカーで現在はMac用のセキュリティツールを開発しているPatrick Wardle氏によれば、同じ脆弱性を利用してmacOSにバックドアを送り込む攻撃のサンプルをユーザーから入手したとのことだ(Philip Martin氏のツイートObject-See's Blogの記事Ars Technicaの記事)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • これが原因だったのですね。
    対応感謝です。

    • by Anonymous Coward

      しょうもないポカじゃなく、迅速なセキュリティ対応だからありがたいですね。

      • by Anonymous Coward

        ありがたいけど、ゼロデイ攻撃を受けといて迅速って評価はどうだろう。

        • by Anonymous Coward on 2019年06月22日 14時16分 (#3638399)

          67.0.4が落ちてきてからしばらくリリースノートが404だったからよっぽど急いでたんでしょう

          親コメント
          • by Anonymous Coward

            これ、開発元に情報提供されたから良かったけど、もしされてなかったら…

        • by Anonymous Coward on 2019年06月22日 14時20分 (#3638405)

          脆弱性を埋め込まないのは実績的に無理やろ。ゼロデイになるかは誰が先に発見するかでしかない。
          開発が最善の速さで対応したならそこは褒めるしかないんじゃね。

          親コメント
        • by Anonymous Coward

          ゼロディ攻撃への対応で1~2日は客観的にみても迅速な部類だろ

          お前の基準を具体例で示せないんなら、浮世離れした天の邪鬼にしか見られないぞ

          • by Anonymous Coward

            具体例もなにも、何日とか「時間」の議論をしている訳じゃないでしょ。
            ゼロデイ攻撃を受ける前でないと迅速とは言えないという「時相」の話。

            • by Anonymous Coward

              え、じゃあまさか「ゼロデイ攻撃自体がありえない」とか、さらに浮世離れした難癖だったわけ?

              • by Anonymous Coward

                迅速とは言えないだけでしょ。
                書いてないことをでっち上げてはいけない。

            • by Anonymous Coward

              (#3638414)もだけど、マイナスモデしている人は、少し冷静になった方がいいのでは?

              ゼロデイ攻撃発覚後の対応は非難されるものではないが、
              その速さを根拠に評価することは
              それまで対策に取り組んできた人たちの努力を不当評価することにつながりかねない

              • by Anonymous Coward

                「ゼロデイ攻撃発覚後の対応」の中では「迅速なほう」だ、って文脈はわかりきってるだろ

                不当評価って…どんだけ歪めばそういう曲解できるんだ?
                「更正した不良より僕のほうが偉い!」みたいな感情で語ってるのか?

              • by Anonymous Coward

                不当評価につなげることが頭悪いし
                対応への評価へのおかしな難癖にマイナスが付くのは別にいいと思う

              • by Anonymous Coward on 2019年06月23日 3時01分 (#3638673)

                不当評価って…どんだけ歪めばそういう曲解できるんだ?

                現に誰も評価してないじゃない。

                バグトラッカが見られないので、とりあえずBug 1544386でpushログ確認したら、
                https://hg.mozilla.org/mozilla-central/rev/a74585a7dec4d91c8cfc53975be... [mozilla.org]
                てなリファクタリングがヒットしたよ。
                中身は知らんけど日付は6月6日だってさ。

                親コメント
  • by Anonymous Coward on 2019年06月22日 12時16分 (#3638351)

    まだGoogle playからダウンロードできず。

  • by Anonymous Coward on 2019年06月22日 22時12分 (#3638602)

    ( ˘ω˘)FirefoxはデフォルトでNo scriptを組み込むべきであーる。

    • まず設定画面におけるjavascriptの有効無効設定と
      なぜか同時期に抹消された画像表示設定を復活してほしい

    • by Anonymous Coward

      No ScriptしんどいからuMatrixにして。

  • by Anonymous Coward on 2019年06月23日 20時32分 (#3638938)

    繰り返しの議論になるけど、やっぱり用語がよくないよね。
    特に、ゼロデイ攻撃は攻撃のサブクラスだからまだしも、
    ゼロデイ脆弱性に至っては脆弱性を再定義する概念で、意味がわからない。

    • by Anonymous Coward

      (#3638523)(#3639652)あたりが犠牲者ですね。

      WIP脆弱性とでも言えばいいんですかね?
      それだと脆弱になってる途中にも読めますが。(あるある)

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...