Linux 用 Mozilla のコマンドライン URL のパージングに関するセキュリティ脆弱性が報告された
本日、Mozilla Firefox と Mozilla Application Suite に影響する、入力評価に関する致命的な セキュリティ脆弱性が報告された。この脆弱性は、アタッカーが任意のコマンドを被害者のシステム上で動作させることを可能にさせる。このバグは Firefox と Mozilla Application Suite が依存する、コマンドラインか外部プログラムによって提供される URL をパージングするための Linux のシェルスクリプトに存在する。もし提供された URL が backtick 記号で囲まれた Linux コマンドを含んでいると、Firefox か Mozilla Application Suite が URL を開こうとする前に実行される。$HOME のような変数も展開されてしまう。
この脆弱性は、めったに Firefox か Mozilla Firefox 自身の内部から悪用されることはないが、Firefox か Mozilla Application Suite がデフォルトブラウザになっている Linux システムで外部プログラム(例えば、電子メールクライアントやインスタントメッセージングアプリケーション)の中で悪意のあるリンクに被害者を陥れることにより、攻撃者はこの脆弱性を利用することが出来る。
例えば、Firefox を自分のデフォルトウェブブラウザにし、Mozilla Thunderbird を自身の電子メールクライアントに利用しているユーザを想定したとする。攻撃者は電子メールをこのユーザに、http://local`find`host のリンクを含んだ電子メールを送信する。もしユーザが Thunderbird でこのリンクをクリックしたとき、URL のパージングシェルスクリプトが呼び出され、Firefox が URL を開く前に find コマンドを実行する。ユーザ外部からのプログラムのリンク、特に電子メールやインスタントメッセージやチャットでのやりとりの疑わしいリンクを追跡しないことによりこの脆弱性を避けられる。
この脆弱性を避ける解決方法は開発されてきており、来たる Firefox 1.0.7 と Mozilla 1.7.12 に含まれる。Mozilla Quality のウェブログは これらの修正を伴った Firefox 1.0.7 リリース候補へのリンク と、テストの案内を掲載している。Firefox 1.0.7 と Mozilla 1.7.12 は既にその他のセキュリティの問題と安定性の問題を修正する計画になっている(特に、最近発行された IDN のリンクバッファオーバーフローの脆弱性を修正している)
この Linux URL のパージングの問題は Peter Zelezny によって報告され、彼は bug 307185 を今日ファイルした。Secunia は、この問題に “非常に危険” なバグとして評価し、Firefox Command Line URL Shell Command Injection というタイトルをつけたアドバイザリを掲載した。フランスのセキュリティ問題対策チーム – French Security Incident Response Team (FrSIRT) のこの問題に関するアドバイザリは、Mozilla Firefox のコマンドラインの URL パージングのコード実行問題 で、この問題も “致命的” と評価されており、四段階のうち最高の危険度となっている。Security Focus では、Mozilla ブラウザ/Firefox のコマンド任意実行の脆弱性 注意を促し、影響を受けるシステムの包括的なリストを掲載している。これらのアドバイザリのリンクに関しては、 roseman と Juha-Matti Laurio に感謝する。
更新:Peter Zelezny は bug 307185 を 9月6日(火)にファイルしており、上記に報告した 9月20日(木) ではなかった。この訂正をしてくれた Juha-Matti に感謝する。
[ 原文 / 2005年9月20日(火) ]
