Firefox 3.5.1に脆弱性 ― 2009/07/19 13:00
2009.07.19 SUN - UnderForge of Lack
緊急リリースがどうなるかまだ分かりませんけど、Fx 3.0.xなユーザは緊急でないリリース(3.5.3?)まで移行しないのをお薦めします。
追記:MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論
Fx 3.5.1なユーザはパッチがリリースされるまでJavaScriptを切るか、NoScriptでしのぐくらいしか手がありません。
Firefox 3.5からは犠牲(履歴を捨ててplaces.sqliteを作り直す)なしに(3.0.x系など)バージョンダウンできません。他にも私が知らない不具合があるかも知れません。バージョンダウンをする場合はプロファイルを作り直す覚悟ができてからにした方が良いです。
Fx 3.0.xにも同様のバグがあるそうですのでバージョンダウンに意味がありません。
ちなみにplaces.sqliteを作り直す場合はbookmarks-xxxx-xx-xx.jsonから作り直す方をお薦めします。
ついでと言ってはなんですが……
Fx 3.5.0の脆弱性を突いた攻撃が始まっているそうです。
[EMERGENCY] Firefox 脆弱性への攻撃開始 - UnderForge of Lack
うちはセキュリティサイトでないというのに、ここ最近の話はこんなんばっか……
Firefox 3.5.1 の脆弱性取りこぼし
(中略)
複数のアナリストやサイトが リリースされたばかりの Firefox 3.5.1 に脆弱性があることが確認、すでに PoC(概念実証コード)が出ています。もしExploitsが成功すれば、脆弱性によってシステムが陥落(compromised)したり、DoS攻撃に誘導されたりする可能性があります。パッチはまだありません。
追記:MozillaがFirefoxの新たな脆弱性(CVE-2009-2479)に関して反論
Firefoxをクラッシュさせることはできるが、エクスプロイトによってリモートからサービス不能(DoS)攻撃を実行することはできないそういうことなら、緊急リリースはなさそうですねぇ。
Fx 3.5.1なユーザはパッチがリリースされるまでJavaScriptを切るか、NoScriptでしのぐくらいしか手がありません。
Fx 3.0.xにも同様のバグがあるそうですのでバージョンダウンに意味がありません。
ちなみにplaces.sqliteを作り直す場合はbookmarks-xxxx-xx-xx.jsonから作り直す方をお薦めします。
ついでと言ってはなんですが……
Fx 3.5.0の脆弱性を突いた攻撃が始まっているそうです。
[EMERGENCY] Firefox 脆弱性への攻撃開始 - UnderForge of Lack
対策:
Firefox 3.5.0 ユーザ
速やかに 3.5.1 へのアップデートを行ってください。
Windows ユーザ
Windows/Microsoft Update を行い、msvidctl.dll脆弱性の穴を塞いでください。
Microsoft Office Web コンポーネント コントロールの脆弱性の対処(Fix it)を行ってください。
うちはセキュリティサイトでないというのに、ここ最近の話はこんなんばっか……
コメント
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/07/19/4444997/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。