Firefox 3.5 のゼロデイ攻撃
記念すべき(?) Firefox3.5 初脆弱性はいきなり ZERO-DAY 攻撃になってしまいました。
Firefox Memory Corruption Vulnerability
Mozilla Firefox Memory Corruption Vulnerability
The vulnerability is caused due to an error when processing JavaScript code handling e.g. "font" HTML tags and can be exploited to cause a memory corruption.
対策:
Do not browse untrusted websites or follow untrusted links.
マテ・・・
それは対策とは呼ばない・・・
milw0rmにすでに攻撃コードの例が出ちゃってるのでちょっと要注意です。
Firefox 3.5 new exploit - confirmed
First Zero Day Exploit for Firefox 3.5
The mozilla blog above has a workaround by temporary disabling the javascript.options.jit.content setting in about:config
Alternatively one could install and use NoSCript to disable all javascript by default.
Firefoxを起動し、 URLバーに about:configと打ち込んで、javascript.options.jit.contentの設定を disabled にしてください。
NoScriptを使い、JavaScriptの設定をデフォルトでOFFにする方法もあります。
上の方法だと、JavaScript全滅っぽいので、NoScriptで、自分の信頼する(心中してもいい覚悟のあるとこ)サイトだけ(一時的に)許可しましょう(笑)
追記:
javascript.options.jit.content の Disabled は、Firefox3.5で実装された新 JavaScriptエンジン、TraceMonkeyの無効化のようです。
参考:
Firefox3.5でJavaScriptがうまく動かない時の対策
追記2:
Critical JavaScript vulnerability in Firefox 3.5
TraceMonkeyの無効化はあくまでも一時的なものですので、パッチが配布された後は元に戻してください。
----------
Firefox 3.5の脆弱性 0-day攻撃注意
朝の記事をこっそりリモートで修正する前に Puppet 様に補足されました(涙
ZERO-DAYなので、Articleに権限昇格(笑)