ハッカーが IDN のリンクバッファオーバフローの脆弱性を利用しようとしていると、Tom Ferris 新しい脆弱性を警告
CNET News.com は セキュリティの研究家が Mozilla セキュリティ脆弱性の悪用方法が見つけられようとしている(日本語版記事) と報告している。この脆弱性は Tom Ferris によって先週暴露されたものである。彼が国際化ドメイン名(IDN)のリンクバッファオーバーフローの脆弱性 の詳細を出版した際には、Ferris は Mozilla Firefox (およびその他の影響するあプリケーション)をクラッシュさせ、それ以上に危険な動作を行わない証明用のコードをいくつか掲載した。しかし、Ferris は任意のコードを走らせることのできる彼の証明用のコードの変異体を作成したと警告しており、現在 Berend-Jan Wever のような他の研究者が、独立して開発した脆弱性の利用例を報告している。Wever はコードを作成するにはちょうど3時間半くらいだったと警告している。
Ferris も Wever も、彼らの脆弱性コードを公にしていないが、News.com の記事は悪意のある攻撃者が脆弱性を利用した攻撃を開発するのに当たって、それほどセキュリティの研究家に後れを取っているわけではないと警告している。Ferris は彼に電子メールで脆弱性について問い合わせてきた人々の言を引用した。”このことはトロイの木馬の作者達が何かを探そうとしていること示している” と彼は述べた。
セキュリティの脆弱性が公になった翌日の先週金曜日、Mozilla Foundation は、IDN のサポートを向こうにするための回避パッチをリリースし、バグが出るコードが動作しないことを確かめた。より永久的な修正は、IDN サポートを外すことなく開発され、数日後の Mozilla Firefox 1.0.7 と Mozilla 1.7.12 に搭載される。昨日、テスト用に Firefox 1.0.7 と Mozilla 1.7.12 のリリース候補が公開された
News.com は 来たる Firefox 1.0.7 と Mozilla 1.7.12 のリリースについて報告した(日本語版記事)(これは先週の脆弱性に関する CNET の4番目の記事である)。この記事には、Mozilla Foundation の技術ディレクターである Mike Schroepfer のコメントも掲載している。この記事は、Ferris が Firefox 1.5 Beta 1 にも関連した脆弱性を発見した(ただし、Firefox 1.0.6 より以前には存在しない) と述べており、これは IDN を向こうにするパッチがインストールされていても存在する。彼は Security Protocols のウェブサイトにもアドバイザリを投稿し、Mozilla Firefox 1.5 Beta 1 IDN バッファオーバーフロー として参照できる。しかし、bug 307259 のコメントによると、たしかにこれは、表面的には IDN の脆弱性のテストケースとは類似性があるものの、この問題は全く異なる問題であるということだ。この別のバグは、セキュリティのとは深い関わりのない単なるクラッシュであると見られており、bug 308579 にファイルされている。これは、bug 307875 の重複としてマークされている。
Ferris が間違って Mozilla のバグを特定したのはこれが初めてのことではない。彼は元々 IDN の脆弱性を、書式文字列の脆弱性 と述べていたが、実際はこれはバッファオーバフローだった。彼はすぐにMozilla のエンジニアたちに誤りを正されました(彼はこの Mozilla エンジニアたちの評価をほぼ一語一句、彼の Mozilla Firefox “Host:” Buffer Overflow というアドバイザリにコピーした際にクレジットを怠った)。それに加え、彼はバグレポートを行う二日前に警告を行った。Ferris はIDN の脆弱性の詳細を、Mozilla Foundation に修正を開発する時間を与えずに明らかにしたことで、セキュリティコミュニティの大半に非難されている。
[ 原文 / 2005年9月15日(木) ]
