Firefox 3.5に未解決の脆弱性、悪質サイトで攻撃される恐れ - ITmedia エンタープライズ(情報元のブックマーク数)
Mozilla Firefox 3.5 Remote Buffer Overflow Exploit (untested crash)(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★の件かな?
Firefoxブラウザ最新版の3.5に、未解決の深刻な脆弱性があることが分かった。開発元のMozillaやUS-CERTは概略を公表し、パッチが公開されるまでの間、攻撃回避のための対策を取るよう呼び掛けている。
Firefox 3.5に未解決の脆弱性、悪質サイトで攻撃される恐れ - ITmedia エンタープライズ
Mozillaのセキュリティブログなどによると、脆弱性はFirefox 3.5のJust-in-time(JIT) JavaScriptコンパイラに存在する。この脆弱性を突く悪用コードを仕込んだWebページをユーザーが閲覧すると、攻撃者が任意のコードを実行できる可能性がある。US-CERTによれば、この問題を突いたエクスプロイトコードが既に出回っているという。
Mozillaは当面の回避策として、JavaScriptエンジンのJITを無効にする方法を紹介している。ただしこの措置を取るとJavaScriptのパフォーマンスが低下するため、脆弱性の修正パッチが公開されたら設定を元に戻すことが望ましい。これとは別に、セーフモードでFirefoxを実行する方法もあるという。
これっすかね
<script language="JavaScript" type="Text/Javascript"> var str = unescape("%u4141%u4141"); var str2 = unescape("%u0000%u0000"); var finalstr2 = mul8(str2, 49000000); var finalstr = mul8(str, 21000000);
関連URL
- Mozilla Firefox 3.5 Vulnerability:US-CERT Current Activity
- Firefox 3.5 new exploit - confirmed
- Critical JavaScript vulnerability in Firefox 3.5 at Mozilla Security Blog
- Mozilla warns of critical Firefox vulnerability - V3.co.uk - formerly vnunet.com
- Firefox 3.5の未パッチのセキュリティホールに対する攻撃コードが公開される - Zero Day - ZDNet Japan