読者です 読者をやめる 読者になる 読者になる

Mozilla Flux

Mozilla関係の情報に特化したブログです。

MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論

Fx安全

Mozilla Security Blogの『milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)』で、MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論している。その骨子は、当該脆弱性を突いてFirefoxをクラッシュさせることはできるが、エクスプロイトによってリモートからサービス不能(DoS)攻撃を実行することはできないというものだ。

yebo blog『Firefox 3.5.1で早くも脆弱性を確認』が伝えているとおり、Firefox 3.5.xにスタック・オーバーフローの脆弱性が含まれていることは確かであり、しかもMozillaの上記解説によれば、Firefox 3.0.x系列も同様の脆弱性を抱えている。したがって、影響を受ける範囲はかなり広いといえる。

しかし、たとえばInternet Storm Centerはエクスプロイトの概念実証コード(PoC)が存在すると伝えているけれども、Mozillaが調査したところでは、攻撃者のコード実行を許すことはないという。

問題となっている脆弱性は、非常に長いUnicode文字列をFirefoxが扱う際に露呈する。バッファの割り当て時に異常終了が発生するのだが、これはユーザー視点からはFirefoxのクラッシュとして現れる。Windows版の場合、Firefox 3.0.xでは常にクラッシュし、Firefox 3.5.xでは少なくとも一部の環境でクラッシュすることが確認済みだ。

Macintosh版の場合だと、Firefox 3.0.xとFirefox 3.5.xの双方で常にクラッシュが起きる。ただ、OS Xの一部であるATSUIシステムライブラリ(テキスト処理担当)の内部で発生したクラッシュの影響を受ける形なので、他のアプリケーションでも同様の現象に見舞われる可能性が高い。Mozillaとしては既にAppleに報告しているが、現時点で修正は提供されていないので、Firefox側で緩和策を実装する予定だとしている。

これらのクラッシュは、それ自体対処すべきものだとしても、真の問題はクラッシュ後に悪意のあるコードを実行できるかどうかであり、その点についてMozillaは否定的だ。遅くとも8月第一週にはFirefox 3.5.2がリリースされる予定であることを考えると、緊急リリースとしての3.5.2が挟まれることはなく、現在のスケジュールどおりに開発が進行するものとみられる。

他方、Firefox 3.0.x系列は、3.0.12が7月21日、3.0.13が9月1日となっているので、3.0.12には修正が間に合わず、かといって3.0.13まで一月半近くもバグを放置するのは問題があろう。こちらはスケジュールに変更が加えられそうだ。

なお、MozillaはLinux版Firefoxに言及していない。かろうじて、Mozilla CorporationでVice President of Engineeringを務めるMike Shaver氏が、上記『milw0rm 9158〜』のコメント欄で、ディストリビューションに依存するのでベンダーへの確認を要すると述べている程度である。