2005年10月18日(火) 14時07分

『Firefox』で DoS 状態に陥る実証コード出回る（japan.internet.com）

Whitedust Publications が運営するセキュリティ情報サイト『Whitedust Security』は17日、オープンソース開発団体 MozillaFoundation の Web ブラウザ『Firefox』に存在する危険度評価の低い脆弱性について、サービス不能化 (DoS) 状態を引き起こし得る概念実証コードが公開されたと発表した。

Whitedust Security が掲載した 情報 には、概念実証コードを公開した『milw0rm.com』へのリンクも掲示している。

Mozilla Foundation も脆弱性の存在は確認しており、同団体のバグ追跡システム『 Bugzilla 』には、8月から 載っていた 。

問題の脆弱性は、セキュリティ情報サイト『 Security-Protocols 』の研究者 Tom Ferris 氏が最初に報告したもので、「悪意をもって作成した HTML ページにより、Firefox 1.0.6 がセグメンテーション フォールト (規定領域外のメモリアクセスによる例外発生) を起こす」と記してある。

セキュリティ調査会社 Secunia は同脆弱性について、まず6日に 情報を公開 し、10日付で更新している。同社による危険度評価は、最低のランクだ。

この脆弱性は、テスト中のベータ版 Firefox 1.5 Beta 2 では修正済みだが、おそらく Firefox の現行版 1.0.7 までの各版には存在している。

Whitedust Security の Mark Anderson 氏は取材に対し、「繰り返しブラウザをクラッシュさせることが可能ということは、緊急レベルのバグではないとしても、この DoS 状態がもっと多くなれば、より深刻な攻撃につながる可能性がある。もしもこの脆弱性が、ブラウザをクラッシュさせるだけなら、それは些細で緊急なものではない」

このようなブラウザのクラッシュについて、実際の DoS とは異なるという見方に対し、Anderson 氏は次のように反論した。

「定義によれば、この脆弱性は明らかに DoS 問題だ。ブラウザをクラッシュさせることで、ユーザーのブラウザ操作は中断し、その際に成立していたセッションは全て失われる。これは、実質的にサービス不能状態だ」



デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html

http://headlines.yahoo.co.jp/hl?a=20051018-00000012-inet-sci