V.S.A. III

こんにちは、五十嵐智です。Firefox 3.0.2 がリリースされました。セキュリティ上の脆弱性も修正されているので、Firefox ユーザは、早めにアップデートしてください。メニューの[ヘルプ]->[ソフトウェアの更新を確認...]でも更新できます。

Mozilla Japan - Firefox 3.0.2 リリースノート

Firefox 3.0.2 で修正済み

MFSA 2008-44resource: トラバーサル脆弱性

MFSA 2008-43BOM 文字と下位サロゲート文字が実行前に JavaScript から切り捨てられる

MFSA 2008-42メモリ破壊の形跡があるクラッシュ (rv:1.9.0.2/1.8.1.17)

MFSA 2008-41XPCnativeWrapper 汚染を通じた特権昇格

MFSA 2008-40マウスドラッグの強制

修正された脆弱性の中に、「resource: トラバーサル脆弱性」というのがあります。「トラバーサル脆弱性」というと、「ディレクトリ・トラバーサル脆弱性」のことかなと思ったので、調べてみました。

MFSA 2008-44: resource: トラバーサル脆弱性

resource: プロトコルにおいて URL エンコードされたスラッシュを用いた場合に、Linux 上でディレクトリトラバーサルが可能になることが、Mozilla 開発者の Boris Zbarsky によって報告されました。

ローカル HTML ファイルに課せられた制限が、resource: プロトコルを用いることで回避可能であることが、Mozilla 開発者の Georgi Guninski によって報告されました。この脆弱性は、攻撃者がシステムに関する情報を読み取ったり、そうした情報をファイルに保存するよう被害者に対して指示することを可能にするものでした。

「ディレクトリ・トラバーサル」については、私などが説明するよりも以下をご覧頂くとよいでしょう。絵入りで詳しく説明されています。

脆弱性を利用した攻撃手法（3） --- ディレクトリ・トラバーサルとOSコマンド・インジェクション：ITpro

ディレクトリ・トラバーサルとは，「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり（横断して），公開されていないディレクトリにアクセスする手法のことである

「resource: プロトコルを使って」ということは、「http:」の代わりに、「resource:」を使ったリンクを埋め込んでおくと、それで本来必要の無いリソースの部分にアクセスできてしまうようになる、ということなのだと思います。「resource: プロトコル」なるものを知らなかったので、私も完全には理解できていませんが。

とにかく、世の中には悪さをするための色々な手法が転がっているということですね。

Firefox をお使いの皆さんは、早めのアップデートを。

カテゴリ：情報セキュリティ

<< 「Dropbox」公開、tPot やいかに？ | Main | ケータイで住基カード？！ >>