Firefox開発元のMozillaは現地時間14日、Firefoxの最新版「3.5」に深刻な脆弱性があることを明らかにした。この脆弱性を悪用する攻撃コードがすでに公開されており、いつ攻撃が始まってもおかしくない危険な状態となっている。
Mozillaによると、脆弱性はJust-in-time(JIT)JavaScriptコンパイラに存在。この脆弱性を突く攻撃コードが仕掛けられたWebページを閲覧すると、攻撃者にパソコンをのっとられるおそれがある。セキュリティベンダーのSecuniaは、この脆弱性の危険度を5段階中2番目に危険な「Highly critical」と評価。VUPEN securityでは、4段階中最も危険な「Critical」としている。
Mozillaでは、準備ができ次第この問題を修正するセキュリティアップデートをリリースするとしているが、それまでの回避策として2つの方法を紹介している。
【パッチリリースまでの回避策:2つの方法】
1.JavaScriptエンジンのJITを無効にする
・ロケーションバー(URL入力欄)に about:config と入力し、Enterキーを押す。
・「細心の注意を払って使用する」の部分をクリックし、上部のフィルタ欄に jit と入力。
・表示された設定名のうち、「javascript.options.jit.content」の部分をダブルクリックし、値が true から false に変わればOK。
後に公開されるセキュリティアップデートを適用したら、同じ操作をして javascript.options.jit.content の値を false から true に戻しておく。
2.Firefoxをセーフモードで使用する
・Firefoxが起動していたら終了する。
・Windowsのスタートボタンを押し、「すべてのプログラム」を開く。
・Mozilla Firefoxのフォルダを開き、Mozilla Firefox(セーフモード)を選択。
・Firefoxセーフモードというダイアログボックスが開くので、チェック欄にチェックを入れずに(すべてのチェックが外れた状態にしておく)「セーフモードを続ける」をクリックする。
(2009/07/15 ネットセキュリティニュース)
■Critical JavaScript vulnerability in Firefox 3.5[英文](Mozilla Security Blog)
http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/
■Mozilla Firefox Memory Corruption Vulnerability[英文](Secunia)
http://secunia.com/advisories/35798/
■Mozilla Firefox Elements Handling Memory Corruption Vulnerability[英文](VUPEN security)
http://www.vupen.com/english/advisories/2009/1868