Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

CVE-2019-11707、CVE-2019-11708: Mozilla Firefoxの複数のゼロデイ脆弱性を突いた攻撃が実際に確認される



セキュリティ研究者らは、Mozilla Firefoxにおける2件のゼロデイ脆弱性を発見しました。これらの脆弱性は標的型攻撃に使用されるおそれがあります。

編集者注:このブログは6月20日に更新され、CVE-2019-11707と組み合わせて悪用される2件目の脆弱性に関する追加情報、およびMozillaからのセキュリティ更新についての情報が含まれています。

背景

6月18日と6月20日に、Mozilla Foundationは、実際に標的型攻撃で使用されているMozilla Firefoxの2件のゼロデイ脆弱性に対処するためのセキュリティアドバイザリ[12]を公開しました

分析

最初のセキュリティアドバイザリによるとCVE-2019-11707はMozilla Firefoxの型混乱の脆弱性で、Array.popの問題によりJavaScriptオブジェクトのコードを処理する際に、悪用可能なクラッシュを引き起こす可能性があります。2件目、CVE-2019-11708はOpen Inter-process communication(IPC)プロンプトのサンドボックスエスケープの脆弱性で、パラメータの検証が十分でないため発生します。攻撃者はこの脆弱性を悪用し、 サンドボックスで保護されていない親プロセスは、子プロセスと親プロセスの間で特別に細工されたPrompt:Open IPCメッセージを使用して子プロセスから渡されたWebコンテンツを開くことができます。 CVE-2019-11708とCVE-2019-11707を組み合わせることにより、任意のコードが実行される可能性があります。

この脆弱性は、Google Project ZeroのSamuel Groß氏とCoinbase SecurityチームによりMozillaに報告されました。

Samuel Groß氏は、6月19日に投稿されたツイートの脆弱性に関する追加情報を提供しています。Groß氏は、実際に行われている攻撃についての詳細は明らかではなく、このバグは4月に彼により報告されていると述べています。彼は、リモートコード実行(RCE)は可能であるが、「別のサンドボックスエスケープが必要である」と述べています。最後に、この脆弱性はそれ自体で「攻撃者の目的によってはユニバーサルクロスサイトスクリプティング(UXSS)にも悪用される可能性がある」と述べています。

Coinbaseの最高情報セキュリティ責任者(CISO)であるPhilip Martin氏は、6月20日に一連のツイートを公開し、標的型攻撃に関するさらなる状況を説明しました。CVE-2019-11707は別のFirefoxゼロデイサンドボックスエスケープ脆弱性(CVE-2019-11708)と組み合わせて悪用され、Coinbaseの従業員が標的にされている、と彼は述べています。Martinは、Coinbaseがこの攻撃キャンペーンの対象となる唯一の「暗号組織」ではなく、彼のチームは他の組織を支援するためにセキュリティ侵害インジケーター(IOC)を提供しています。 

さらに、Digita Securityの創設者兼最高研究責任者(CRO)のPatrick Wardle氏は、Philip Martin氏がツイートで参照した悪意のあるファイルの1つと一致する、macOSマルウェアサンプルを分析するブログを公開しました

ソリューション

Mozillaは6月18日にCVE-2019-11707に対応するためにFirefox 67.0.3とFirefox 延長サポート版(ESR)60.7.1をリリースし、6月20日にCVE-2019-11708に対応するためにFirefox 67.0.4とFirefox ESR 60.7.2をリリースしました。ユーザーには早急にFirefoxの最新バージョンにアップグレードすることをお勧めします。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。Tenable.io60日間無料トライルを入手する。


役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。