パスワードを忘れた? アカウント作成
12351355 story
Firefox

Firefoxに深刻な脆弱性、Mozillaが更新を呼びかける 39

ストーリー by headless
深刻 部門より
Firefoxでユーザーに知られずにローカルファイルをアップロード可能な脆弱性が発見され、Mozillaが更新を呼びかけている(Mozilla Foundation Security Advisory 2015-78Mozilla Security Blogの記事Neowinの記事)。

この脆弱性はsame-originポリシーに違反してビルトインのPDFビューアーの非特権部分にスクリプトをインジェクトできるというもの。悪用することでローカルファイルの読み取りや、アップロードが可能であり、すでにエクスプロイトの存在も確認されている。PDFビューアーを搭載しないAndroid版Firefoxは影響を受けない。

エクスプロイトが発見されたのはロシアのニュースサイトで表示される広告で、特定のローカルファイルを検索してウクライナにあるとみられるサーバーにアップロードするという。このエクスプロイトがターゲットにしているのはWindowsおよびLinuxだが、Mac OSをターゲットにするものが今後出現する可能性もある。

脆弱性はFirefox 39.0.3およびFirefox ESR 38.1.1、Firefox OS 2.2で修正されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by northern (38088) on 2015年08月08日 12時20分 (#2860952)

    更新した
    スラドにしては早めの掲載だ

    • by Anonymous Coward on 2015年08月09日 0時13分 (#2861230)

      参考リンクがpdfでないとは、まだまだ甘いな

      親コメント
    • by Anonymous Coward

      これ見てバージョンをチェックしたら、すでに更新してて大丈夫だった。

  • by shinshimashima (9763) on 2015年08月09日 10時35分 (#2861315) 日記

    Firefox ESR 31.8は修正されないの?
    まだ数日寿命残ってたよな。

    • by Anonymous Coward

      リンク先のバグでは、発見されたエクスプロイトはESR31では動作しないと書かれていますね。理論上攻撃不可能なのかどうかはわかりませんが。

  • by Anonymous Coward on 2015年08月08日 12時10分 (#2860948)

    とは結局なんなのか

    • by Anonymous Coward

      もちろんPDFファイルでしょうね。それ以外のファイルはPDFビューアを起動できないと思うので。詳細は公開されていないので、妄想込みの予想になりますが……

      PDFファイルのオリジンはだいたいhttpなウェブサイトです。一方、PDFファイルビューア(PDF.js)のオリジンはchromeではなくローカルファイルです。ですから、PDFファイルはストリームとしてHTTPから読みだされた後、ローカルファイルのスクリプト(PDF.js)を呼び出して自身を整形(ストリームコンバーター)してHTML/Canvasっぽい文字列に変換されて、あらためて画面に描画されているんだと思います

      • by Anonymous Coward on 2015年08月08日 13時23分 (#2860969)

        元ネタ記事の一つ(https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/)の第3パラグラフを読んでください。
        以下引用。

        >On Windows the exploit looked for subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with “pass” and “access” in the names, and any shell scripts.

        親コメント
  • by Anonymous Coward on 2015年08月08日 12時19分 (#2860950)

    特定サイト見に行くとほぼ必ず落ちるんだけど。それもクラッシュレポート送信も動作しない。

    • by Anonymous Coward

      64bit環境に32bit版を入れてた(Linux)。
      理由は不明だけど、64bit版にしたら普通にアクセスできるようになった。

  • by Anonymous Coward on 2015年08月08日 13時44分 (#2860976)

    ビルトインのPDFビューアーって、PDF内のAdobe JavaScriptの実行を禁止する方法ってないもんですかね?
    できないなら、まだしも禁止可能なAcrobat Readerの方がマシのように思う。
    (Readerはよくハングアップするから嫌いなんだけど)

    • by Anonymous Coward on 2015年08月08日 13時58分 (#2860981)

      ビルトインのPDFビューアーはそもそもAdobe JavaScriptをサポートしてないはずだけど?
      この脆弱性はビルトインPDFビューアーを利用しているが、ぶっちゃけPDFはほとんど関係ない。

      親コメント
  • by Anonymous Coward on 2015年08月08日 14時07分 (#2860985)

    ビルトインPDFビューアはJavaScriptだからAdobe Readerよりも安全だって触れ込みだったような。
    ブラウザのサンドボックスを越えるような脆弱性がありうるのかよ。

    • by Anonymous Coward

      PDFビューアの実行されているコンテキストはある種の特権を持っているから常々うさんくさい宣伝文句だとは思ってた。

    • by Anonymous Coward

      Firefoxと同時に更新されるのでAdobe Readerの更新忘れによる影響を受けないという趣旨の記事は複数見ましたが、PDF.jsとAdobe Readerの安全性を比較した記事は見つかりませんでした。

      • by Anonymous Coward

        つまり、別にAdobe Readerと比べて安全なわけじゃないってこと?

        だったら、わざわざ独自実装した意味はなんなんだ? 機能的には本家の劣化コピーだし、存在する意味なくない?
        今までずっとセキュリティのためだと思ってたよ。

        • by Anonymous Coward

          Firefoxに関しては、NPAPIを無効化できる環境作りに必要だったんじゃないですかね。

    • by Anonymous Coward

      つかそもそも何でビルトインするかね。
      だって問題あったときに切れないじゃん。

      • by Anonymous Coward

        設定で切れますよ。
        ビルドインのを使うか、外部プログラムを使うか、ダウンロードするか、毎回尋ねるか、
        どれでもお好きなものをお選び下さい。

        • by Anonymous Coward

          よく調べてないけど、今回のってそういう問題なの?
          つまり、PDFを表示しないか別のを使えばいいの?
          広告で見つかったとかいう話があったような気がするので、PDFを表示しようとしなくてもそのコードが使われちゃうという話だと勝手に思っちゃったんだけど。

          • by Anonymous Coward

            脆弱性の内容を調べようと思ったけど、FirefoxのBugzillaはコミュニティメンバ―以外は非公開みたいですね…。

  • by Anonymous Coward on 2015年08月08日 15時28分 (#2861019)

    Firefoxなんてクソじゃん
    Chromeはゴミだし
    IEは問題外だし
    Operaはオワコン
    Safariは使いものにならない

    • たまにはNetFrontBrowserの事も思い出してあげて下さい

      親コメント
    • Konqueror最強だと思ってる。

      親コメント
      • by Anonymous Coward

        今の Konqueror って、レンダリングエンジン何なんだろう。
        KHTML の順当進化?

    • by Anonymous Coward

      EDGEが なかまに なりたそうに こちらをみている!

    • by Anonymous Coward

      やはりlynxが最強だったか

    • by Anonymous Coward

      そこはw3m

    • by Anonymous Coward

      Chromiumならとてもすっきり。それでもふくよか。

    • by Anonymous Coward

      Vivaldi「ほんまそれ」

      • by Anonymous Coward

        もうVivaldiしか使ってない…てことはないけど、9割以上は済んでる。
        まだTechnical Preview+αなんだけどねえ。

    • by Anonymous Coward

      やっぱNetscapeでしょ。
      こないだNetscape Navigator 4をWineで動作させてみた。
      素晴らしい体験だった。

    • by Anonymous Coward

      midori「せやな」
      netsurf「うんだうんだ」
      epiphany「まだまだ」
      こないだなんかいれちゃった。
      サードブラウザあっても良いと思うんだ。
      #firefoxがセカンド

    • by Anonymous Coward

      かつてはIEより軽快で安全が売りだったけど、次第に余計な機能てんこ盛りになって
      それが激重・脆弱性の原因になってしまっている。
      PDFビューアーはまさにそれ
      ユーザーにも見限られ、シェアが減り続けているのに、開発陣はまったく反省しないw

    • by Anonymous Coward

      どうせ みんな Webkitになる
      ……と、しばらく前までは思っていました。

      最近はそうでもなさそうなんだろうか。
      # Chromium に Webkit 由来のコードがどのくらい残されているか次第か。

  • by Anonymous Coward on 2015年08月09日 22時25分 (#2861569)

    ここ最近(しばらく前に PDF 仕様が標準化されてから?)どのブラウザもビルトインビューアにしてますなぁ。
    IE/Edge もそのうちそうなるんだろうか。(Edge はまだ試してない)

    • by Anonymous Coward

      EdgeはPDFビューアを内蔵してます。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...