Firefox 39.0.3 と Firefox ESR 38.1.1 が緊急リリースされた背景
ツイートすると長いのでここに書きます
- 2015-08-10追記: New Firefox Zero-Day: Patch Now! | Malwarebytes Unpacked にも情報あり
英文ソース: Firefox exploit found in the wild | Mozilla Security Blog
の要約です
- ロシアのニュースサイトにある広告経由で Firefox 向け Zero-Day 脆弱性が利用され、ローカルの設定ファイルがウクライナと思しきサーバーにアップロードされている...というユーザーから情報提供が8/5(水)にあった
- その脆弱性は JavaScript の same origin policy コンテキスト分離メカニズムと Firefox PDF Viewer に関係する(PDF Viewer を含まない Firefox for Android のような製品はこの影響を受けない)
- この脆弱性を利用しても任意のコードは実行できないが、JavaScript ペイロードをローカルファイルのコンテキストに注入することでローカルの設定ファイルを検索しアップロードする
- 検索対象ファイルは一般大衆向けニュースサイトに仕掛けられたにしては意外なほど開発者が使うファイルに絞られていた(他にも攻撃対象サイトがあったから?かどうかは定かではない)
- Windows ではローカルにある subversion、s3browser、Filezilla の設定ファイル、.purple や Psi+ というメッセンジャーのアカウント情報ファイル、有名な8つの FTP ソフトのサイト設定情報を検索する
- Linux では /etc/passwd のような定番設定ファイルに続き、各ユーザーのディレクトリにある .bash_history、.mysql_history、.pgsql_history、.ssh 設定ファイルやキー、remina や Filezilla や Psi+ の設定ファイル、「pass」や「access」をファイル名に含むテキストファイル、あらゆるシェルスクリプトを検索する
Mac ユーザーは今回攻撃対象になっていないようだが、誰かが今後 Mac 向けのペイロードを作成するかもしれないから…(察し)[2015-08-10追記] 既に Mac を攻撃対象とした派生版が発生したようで、これは上記 Linux を対象にしたのと同様とのこと
- ローカルマシンにこの攻撃の痕跡は残らない
- Windows や Linux 上で Firefox を使用していて、パスワードやキーを変更する際は慎重に
- 広告ブロックソフトとそのフィルタの組み合わせによっては、今回の攻撃を防げたユーザーもいるかもしれない