Firefoxに深刻な脆弱性、Mozillaが更新を呼びかける 39
ストーリー by headless
深刻 部門より
深刻 部門より
Firefoxでユーザーに知られずにローカルファイルをアップロード可能な脆弱性が発見され、Mozillaが更新を呼びかけている(Mozilla Foundation Security Advisory 2015-78、
Mozilla Security Blogの記事、
Neowinの記事)。
この脆弱性はsame-originポリシーに違反してビルトインのPDFビューアーの非特権部分にスクリプトをインジェクトできるというもの。悪用することでローカルファイルの読み取りや、アップロードが可能であり、すでにエクスプロイトの存在も確認されている。PDFビューアーを搭載しないAndroid版Firefoxは影響を受けない。
エクスプロイトが発見されたのはロシアのニュースサイトで表示される広告で、特定のローカルファイルを検索してウクライナにあるとみられるサーバーにアップロードするという。このエクスプロイトがターゲットにしているのはWindowsおよびLinuxだが、Mac OSをターゲットにするものが今後出現する可能性もある。
脆弱性はFirefox 39.0.3およびFirefox ESR 38.1.1、Firefox OS 2.2で修正されている。
この脆弱性はsame-originポリシーに違反してビルトインのPDFビューアーの非特権部分にスクリプトをインジェクトできるというもの。悪用することでローカルファイルの読み取りや、アップロードが可能であり、すでにエクスプロイトの存在も確認されている。PDFビューアーを搭載しないAndroid版Firefoxは影響を受けない。
エクスプロイトが発見されたのはロシアのニュースサイトで表示される広告で、特定のローカルファイルを検索してウクライナにあるとみられるサーバーにアップロードするという。このエクスプロイトがターゲットにしているのはWindowsおよびLinuxだが、Mac OSをターゲットにするものが今後出現する可能性もある。
脆弱性はFirefox 39.0.3およびFirefox ESR 38.1.1、Firefox OS 2.2で修正されている。
これ見て (スコア:1)
更新した
スラドにしては早めの掲載だ
Re:これ見て (スコア:1)
参考リンクがpdfでないとは、まだまだ甘いな
Re: (スコア:0)
これ見てバージョンをチェックしたら、すでに更新してて大丈夫だった。
ESR 31.8 (スコア:1)
Firefox ESR 31.8は修正されないの?
まだ数日寿命残ってたよな。
Re: (スコア:0)
リンク先のバグでは、発見されたエクスプロイトはESR31では動作しないと書かれていますね。理論上攻撃不可能なのかどうかはわかりませんが。
特定のローカルファイル (スコア:0)
とは結局なんなのか
Re: (スコア:0)
もちろんPDFファイルでしょうね。それ以外のファイルはPDFビューアを起動できないと思うので。詳細は公開されていないので、妄想込みの予想になりますが……
PDFファイルのオリジンはだいたいhttpなウェブサイトです。一方、PDFファイルビューア(PDF.js)のオリジンはchromeではなくローカルファイルです。ですから、PDFファイルはストリームとしてHTTPから読みだされた後、ローカルファイルのスクリプト(PDF.js)を呼び出して自身を整形(ストリームコンバーター)してHTML/Canvasっぽい文字列に変換されて、あらためて画面に描画されているんだと思います
Re:特定のローカルファイル (スコア:3, 参考になる)
元ネタ記事の一つ(https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/)の第3パラグラフを読んでください。
以下引用。
>On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.
落ちる (スコア:0)
特定サイト見に行くとほぼ必ず落ちるんだけど。それもクラッシュレポート送信も動作しない。
Re: (スコア:0)
64bit環境に32bit版を入れてた(Linux)。
理由は不明だけど、64bit版にしたら普通にアクセスできるようになった。
JavaScript実行禁止は? (スコア:0)
ビルトインのPDFビューアーって、PDF内のAdobe JavaScriptの実行を禁止する方法ってないもんですかね?
できないなら、まだしも禁止可能なAcrobat Readerの方がマシのように思う。
(Readerはよくハングアップするから嫌いなんだけど)
Re:JavaScript実行禁止は? (スコア:2, 参考になる)
ビルトインのPDFビューアーはそもそもAdobe JavaScriptをサポートしてないはずだけど?
この脆弱性はビルトインPDFビューアーを利用しているが、ぶっちゃけPDFはほとんど関係ない。
あれ (スコア:0)
ビルトインPDFビューアはJavaScriptだからAdobe Readerよりも安全だって触れ込みだったような。
ブラウザのサンドボックスを越えるような脆弱性がありうるのかよ。
Re: (スコア:0)
PDFビューアの実行されているコンテキストはある種の特権を持っているから常々うさんくさい宣伝文句だとは思ってた。
Re: (スコア:0)
Firefoxと同時に更新されるのでAdobe Readerの更新忘れによる影響を受けないという趣旨の記事は複数見ましたが、PDF.jsとAdobe Readerの安全性を比較した記事は見つかりませんでした。
Re: (スコア:0)
つまり、別にAdobe Readerと比べて安全なわけじゃないってこと?
だったら、わざわざ独自実装した意味はなんなんだ? 機能的には本家の劣化コピーだし、存在する意味なくない?
今までずっとセキュリティのためだと思ってたよ。
Re: (スコア:0)
Firefoxに関しては、NPAPIを無効化できる環境作りに必要だったんじゃないですかね。
Re: (スコア:0)
つかそもそも何でビルトインするかね。
だって問題あったときに切れないじゃん。
Re: (スコア:0)
設定で切れますよ。
ビルドインのを使うか、外部プログラムを使うか、ダウンロードするか、毎回尋ねるか、
どれでもお好きなものをお選び下さい。
Re: (スコア:0)
よく調べてないけど、今回のってそういう問題なの?
つまり、PDFを表示しないか別のを使えばいいの?
広告で見つかったとかいう話があったような気がするので、PDFを表示しようとしなくてもそのコードが使われちゃうという話だと勝手に思っちゃったんだけど。
Re: (スコア:0)
脆弱性の内容を調べようと思ったけど、FirefoxのBugzillaはコミュニティメンバ―以外は非公開みたいですね…。
Firefoxなんて使ってるから (スコア:0)
Firefoxなんてクソじゃん
Chromeはゴミだし
IEは問題外だし
Operaはオワコン
Safariは使いものにならない
Re:Firefoxなんて使ってるから (スコア:1)
たまにはNetFrontBrowserの事も思い出してあげて下さい
Re:Firefoxなんて使ってるから (スコア:1)
Konqueror最強だと思ってる。
Re: (スコア:0)
今の Konqueror って、レンダリングエンジン何なんだろう。
KHTML の順当進化?
Re: (スコア:0)
EDGEが なかまに なりたそうに こちらをみている!
Re: (スコア:0)
意外と快適だった
Re: (スコア:0)
やはりlynxが最強だったか
Re: (スコア:0)
そこはw3m
Re: (スコア:0)
Chromiumならとてもすっきり。それでもふくよか。
Re: (スコア:0)
Vivaldi「ほんまそれ」
Re: (スコア:0)
もうVivaldiしか使ってない…てことはないけど、9割以上は済んでる。
まだTechnical Preview+αなんだけどねえ。
Re: (スコア:0)
やっぱNetscapeでしょ。
こないだNetscape Navigator 4をWineで動作させてみた。
素晴らしい体験だった。
Re: (スコア:0)
midori「せやな」
netsurf「うんだうんだ」
epiphany「まだまだ」
こないだなんかいれちゃった。
サードブラウザあっても良いと思うんだ。
#firefoxがセカンド
Re: (スコア:0)
かつてはIEより軽快で安全が売りだったけど、次第に余計な機能てんこ盛りになって
それが激重・脆弱性の原因になってしまっている。
PDFビューアーはまさにそれ
ユーザーにも見限られ、シェアが減り続けているのに、開発陣はまったく反省しないw
Re: (スコア:0)
どうせ みんな Webkitになる
……と、しばらく前までは思っていました。
最近はそうでもなさそうなんだろうか。
# Chromium に Webkit 由来のコードがどのくらい残されているか次第か。
ビルトインPDFビューアたけなわ (スコア:0)
ここ最近(しばらく前に PDF 仕様が標準化されてから?)どのブラウザもビルトインビューアにしてますなぁ。
IE/Edge もそのうちそうなるんだろうか。(Edge はまだ試してない)
Re: (スコア:0)
EdgeはPDFビューアを内蔵してます。