Mozillaは金曜日にブログ記事を公開し、現在出回っているFirefoxブラウザの脆弱性について詳細を解説しました。この脆弱性は、コンピュータ上のファイルを検索してアップロードするものです。幸いなことに、修正プログラムが用意されており、Firefoxブラウザを最新バージョンにアップデートするだけで済みます。
Mozilla ブログ:
この脆弱性は、JavaScriptのコンテキスト分離(「同一オリジンポリシー」)を強制するメカニズムとFirefoxのPDFビューアの相互作用に起因します。Android版Firefoxなど、PDFビューアを搭載していないMozilla製品は、この脆弱性の影響を受けません。この脆弱性によって任意のコードが実行されることはありませんが、この脆弱性を悪用することで、ローカルファイルのコンテキストにJavaScriptペイロードを挿入することが可能でした。これにより、機密性の高い可能性のあるローカルファイルを検索し、アップロードすることが可能になりました。
このエクスプロイトはウクライナのサーバーを利用すると報じられており、JavaScriptを挿入してユーザーのコンピュータからファイルを検索し、場合によってはアップロードします。これらの処理は、ユーザーが何も気づかないうちに実行されます。
Windowsでは、このエクスプロイトはSubversion、s3browser、Filezillaの設定ファイル、.purpleおよびPsi+のアカウント情報、そして8種類の一般的なFTPクライアントのサイト設定ファイルを探します。Linuxでは、このエクスプロイトは/etc/passwdなどの通常のグローバル設定ファイルを標的とし、その後、アクセス可能なすべてのユーザーディレクトリで.bash_history、.mysql_history、.pgsql_history、.sshの設定ファイルとキー、remina、Filezilla、Psi+の設定ファイル、名前に「pass」や「access」が含まれるテキストファイル、そしてあらゆるシェルスクリプトを探します。Macユーザーはこのエクスプロイトの標的ではありませんが、誰かが別のペイロードを作成すれば、この攻撃から逃れることはできません。
Firefoxをご利用の場合は、すぐにバージョン39.0.3にアップデートしてください。Firefoxはデフォルトで自動更新するように設定されていますが、Firefoxメニューの「Firefoxについて」をクリックして更新することもできます。利用可能なアップデートがある場合は、Firefoxはすぐにダウンロードを開始します。アップデートの適用準備が整うと、ブラウザを再起動してアップデートするためのボタンが表示されます。
Firefox の更新バージョンを mozilla.org からダウンロードすることもできます。
