アナログ
RSS  

Firefoxに0-day2010/10/27 06:38

対策済みのFirefox 3.6.12 / 3.5.15 がリリースされています。

Firefox news - SANS Internet Storm Center
Starting on the first one.
There is a 0day vulnerability for Firefox, including the latest version. This vulnerability is already being exploited, so beware...

The good thing is that Mozilla is quite fast on those and already confirmed the issue and is working to get it fixed.

The second one is related to an Firefox extension released yesterday. It is called Firesheep.

既に脆弱性が利用されているって言われても緩和策が何も提示されてないんじゃ……
JavaScript切っときゃいいのか? ← ○
それとも他のブラウザに退避しないといけないのか?

<追記>

Mozilla Japan ブログ - Firefox 3.5 と 3.6 の重大な脆弱性について
Mozilla では既に問題の原因を特定しており、修正プログラムを開発中です。テストが完了次第、Firefox の自動更新機能を通じて配布します。

それまでの間、ユーザの皆さんは以下のいずれかの方法で対策を行うことができます。

ということなので、NoScriptご利用の方はいい機会だと思いますので、White Listに心中していいサイト以外登録されていないか確認をおすすめします。


Firefoxに未修正の脆弱性、ノーベル賞サイトで悪用見つかる - ITmedia News
 ノーベル平和賞サイトの感染は、Normanの研究者が26日に発見したという。マルウェアはFirefox 3.5と3.6の脆弱性を悪用した新手のトロイの木馬で、これらのWebブラウザで同サイトを閲覧した場合、知らないうちに感染した可能性があるとしている。

「Firefox」にノーベル平和賞のWebサイトなどで攻撃が始まっている未修正の脆弱性
Mozillaによると、現在ノーベル平和賞のWebサイトは「Firefox」のマルウェア対策機能でブロックするようにしているとのこと。しかし、攻撃コードが仕掛けられているWebサイトはほかにもある可能性があるため注意が必要だ。

ナイトリーに3.6.12-candidates build1、3.5.15-candidates build1があがってます。
リスクを天秤にかけて人柱になるもよし、JavaScript Offで耐えるもよし、ChromeやOperaに退避するもよし選択肢があるのはいいことだ。
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.12-candidates/build1/win32/ja/Firefox%20Setup%203.6.12.exe
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.5.15-candidates/build1/win32/ja/Firefox%20Setup%203.5.15.exe

ブラウザのキャッシュを利用したセキュリティの回避 | Symantec Connect
どのように攻撃するのかの例。

</追記>


Firesheepの件は

概要

Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep
仕組みはこうだ。安全性の低いサイトは、ユーザーをクッキー(正式にはセッションと呼ばれる)で識別している。クッキーにはそのウェブサイトがユーザーを識別する情報が含まれている。Firesheepはクッキーを抽出し、これを使って本来のユーザーになりすます。

安全性の低いサイトはTwitterとFacebookの2大サービスだけに限られない。Foursquare、Gowallaも同様だ。Firesheepがクッキーを識別できるサイトはそれらに留まらない。デフォールトで識別可能なサイトは以下の通りだ。Amazon.com、Basecamp、bit.ly、Cisco、CNET、Dropbox、Enom、Evernote、Facebook、Flickr、Github,、Google、HackerNews、Harvest、WindowsLive、NY Times、Pivotal Tracker、Slicehost、tumblr、Twitter、WordPress、Yahoo、Yelpだ。Butlerの記事によれば、誰でもFiresheepのソースコードを参考にして他のサイトのクッキーを傍受するアドオンを簡単に書けるという。

対策

FiresheepからWiFiでログイン情報を守る方法
Firesheepはほとんどのソーシャルサイトが接続プロトコルに安全性の低いHTTPを利用している(接続速度が速いため)点を突いている。 ところがFirefoxにはForce-TLSというアドオンがすでに存在する。これは相手方のウェブサイトに暗号化して通信を行うHTTPSプロトコルを使うよう強制するもので、こうすればFiresheepにはユーザーのクッキーの内容が分からなくなる。

HTTPS Everywhereも同様の機能を持ったアドオンだ。これらのFirefoxアドオンはアドオンメニューから接続方式を HTTPではなくHTTPSに変更することができる。そうすればソーシャルサイトにアクセスした場合でもログイン情報を盗み取られることはなくなる。

HTTPSはユーザーデータを暗号化するのでFiresheepが内容を読み取ることができない。Force-TLSは多くのサイトに対してSSL暗号化チャンネルを利用した通信を要求できる。ただしAmazon(*)など一部のサイトではSSLオプションが存在しない。Facebook、Twitter、Googleなどの主要サイトにはすべてHTTPS接続オプションhが存在する。

なりすましの対象となるサイトの一覧

【レビュー】HTTPセッションハイジャックを実行できるFiresheep登場 | マイコミジャーナル
このエクステンションを使うとほかのユーザのクッキーを取得して他人になりすましたログインが可能になる。Firesheep 0.1においてHTTPセッションハイジャックが実施できるサイトは次のとおり。今後のバージョンアップで対応するサイトが増える可能性もある。

<追記>

Mozilla Japan ブログ - Firesheep に関する Mozilla セキュリティチームからのコメント
Firesheep のようなツールを使った攻撃者から Cookie を読み取られるのを防ぐために (実際の目的はそれだけにとどまりません) 役立てられる HTTP Strict-Transport-Security (HSTS) についてご案内しました。実際、これは Firefox 4 へ組み込まれます。この種の攻撃からユーザを保護するためには、Web サイトの運営者が、安全なログインページを提供する際に HTTP ヘッダ Strict-Transport-Security を設定し、それ以降のサイトへのアクセスを HTTPS で行えるようにするだけです。

</追記>

コメント

_ やすっち。 ― 2010/10/27 10:43

3.5.*/3.6.*ともに修正版(3.5.15/3.6.12)を緊急リリース予定です。
ttps://wiki.mozilla.org/Platform/2010-10-26#Notices_.2F_Schedule

_ puppet ― 2010/10/27 18:10

情報ありがとうございます。

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
スパムがウザイので合い言葉を入れるようにしました。山と言えば川だろJK


コメント:

トラックバック

このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2010/10/27/5448934/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。