読者です 読者をやめる 読者になる 読者になる

Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

【翻訳】実際に確認された Firefox のエクスプロイト

この記事は、2015 年 8 月 6 日付で Mozilla Security Blog に投稿された Firefox exploit found in the wild(筆者: Daniel Veditz)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。


(訳注: 「昨日」や「今朝」などの語は、記事が投稿された 2015 年 8 月 6 日に基づきます。)

昨日の朝、とある Firefox ユーザから私に知らせがありました。その内容は、ロシアのニュースサイトに置かれた広告から Firefox の攻撃コードがサーブされていて、機密情報を含むファイルを走査した後にウクライナにあるらしきサーバにアップロードしている、というものでした。Mozilla は今朝、脆弱性を修正するセキュリティアップデートをリリースしました。Firefox を使っているすべてのユーザは Firefox 39.0.3 にアップデートする必要があります。この修正は Firefox ESR 38.1.1 でも適用されています。

今回の脆弱性は、JavaScript のコンテキスト分離(同一オリジンポリシー)の適用過程に必要な通信と Firefox の PDF Viewer に由来します。AndroidFirefox のように、PDF Viewer を含まない Mozilla 製品が攻撃を受けることはありません。この脆弱性によって任意のコードを実行することはできませんが、攻撃コードによってローカルファイルのコンテキストに JavaScriptペイロードを挿入することは可能でした。この攻撃により、機密情報を含むローカルファイルを走査してアップロードが可能となるおそれがありました。

驚くべきことに、攻撃コードの走査するファイルは開発者がターゲットにされていました。攻撃コードは一般向けのニュースサイトに置かれていましたが、悪意のある広告がどこに設置されているかはもちろん分かりません。Windows に対する攻撃では、subversion や s3browser、Filezilla の設定ファイル、.purple や Psi+ のアカウント情報、そして 8 つのメジャーな FTP クライアントのサイト設定ファイルが走査されていました。Linux に対する攻撃では、/etc/passwd といった通常の設定ファイルに始まり、アクセス可能なすべてのユーザディレクトリ内にある .bash_history.mysql_history.pgsql_history.ssh といった設定ファイルや鍵、remina や Filezilla、Psi+ の設定ファイル、"pass" や "access" という単語を名前に含むテキストファイル、そしてあらゆるシェルスクリプトが走査されていました。Linux での攻撃時と同じようなファイルを Mac で走査する亜種も確認されています。

今回の攻撃コードは、ローカルのマシン上における実行形跡を何も残しません。もし WindowsLinuxFirefox を使っていて、上に挙げたファイルに関連するプログラムを利用しているならば、関係するパスワードや鍵をすべて変更したほうが望ましいでしょう。広告をブロックするソフトウェアを利用している方は、使用しているソフトウェアやフィルタによって攻撃コードから保護されているかもしれません。