05/10/18 13:54:07 K/eKfqzB0
Mozilla Firefoxブラウザの致命的でないバグを利用して、サービス停止(DoS)攻撃を
引き起こすことができると、Whitedust Securityが指摘している。
同サイトはこの主張を証明するための脆弱性実証コードと単純なテストリンクを公開した。
URLリンク(www.itmedia.co.jp)
このコードが利用するバグはMozillaにとって既知のものだ。これは8月からMozillaの
バグトラッキングシステムである「Bugzilla」に掲載されていた。
このBugzilla Bug 303433は初めsecurity-protocols.comのトム・フェリス氏が報告し、
「この不正な形式の.htmlページでFirefox 1.0.6のsegfaultsが起きる」というタイトルが付けられている。
セキュリティ企業Secuniaは10月10日にこのバグに関するアドバイザリを掲載し、
「Mozilla Firefox IframeサイズのDoSの脆弱性」という題と「Not critical(致命的でない)」という評価を付けている。
「ブラウザを繰り返しクラッシュさせられるというのは致命的なバグではないかもしれないが、
もっと時間があればDoS攻撃を利用してより深刻な攻撃を仕掛けられる可能性がある」と
Whitedustのマーク・アンダーソン氏。
「定義に従えば、このバグは明らかにDoSだ。ブラウザをクラッシュさせることで、
このバグはユーザーの閲覧行為を中断させ、実質的にはすべてのアクティブなセッションを破壊して、
サービスを停止する」(同氏)