2007年09月13日(木) 11時01分
FirefoxとQuickTime悪用のエクスプロイトが公開(ITmediaエンタープライズ)
US-CERTは9月12日、MozillaのFirefoxブラウザとAppleのメディア再生ソフトQuickTimeをインストールしたユーザーを標的として、エクスプロイトコードが公開されたと明らかにした。
このエクスプロイトではリモートの認証を受けないユーザーが、影響を受けるシステム上で任意のコマンドを実行できてしまうという。
Firefoxをめぐっては7月に、Internet Explorer(IE)の関与で生じる深刻な脆弱性が報告されて問題になった。
US-CERTの今回のアラートは、ハッカー組織「GNUCITIZEN」のサイトに12日付で掲載された情報を指すとみられる。同サイトでは「QuickTimeのメディアフォーマットがFirefoxをハッキングできてしまう」脆弱性があると指摘した。
同組織は2006年、QuickTimeの脆弱性情報を2件公開し、1件目は修正されたが2件目は無視されたと主張。そこで「低リスクの問題が高リスクの攻撃につながり得ることを示す」目的で、今回のコンセプト実証コードを公開したと説明している。
この脆弱性を悪用されればWebブラウザが完全に制御され、OSの制御にもつながる可能性があると同サイトは指摘。エクスプロイトはクロスプラットフォームであり、QuickTimeはiTunesのデフォルトでインストールされるため、iTunesユーザーも影響を受けると解説している。
【関連キーワード】
Firefox |
脆弱性
Firefoxの脆弱性、IE経由で悪用される恐れ
「Firefoxにも問題あった」、IE関与の脆弱性でMozillaが認める
FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開
http://headlines.yahoo.co.jp/hl?a=20070913-00000035-zdn_ep-sci