Web ブラウザ Firefox に新しい脆弱性が見つかりました。標的となったコンピュータに保存されているファイルに、攻撃者がアクセスできる可能性があります。この脆弱性(CVE-2015-4495)は、ブラウザ組み込みの PDF ビューアで発生し、現在も悪用が確認されています。Mozilla はすでにパッチを公開しているので、Firefox ユーザーはただちにブラウザを更新することをお勧めします。
この脆弱性は、セキュリティ研究者 Cody Crews 氏によって発見されました。攻撃者は、組み込み PDF ビューアの非特権部分にスクリプトをインジェクトして、狙ったコンピュータに保存されているファイルを読み取ったりダウンロードしたりすることができます。
Mozilla は、この脆弱性がすでに悪用されていること、またロシアのニュースサイトで広告が脆弱性の悪用に関与していたことも確認しています。攻撃者は、影響を受けるコンピュータ上で重要なファイルを検索し、ウクライナにあるサーバーにアップロードすることができます。この脆弱性についてはすでに報道が広がっているため、他の攻撃グループも遠からず悪用し始める可能性があります。
個人情報データの窃盗が可能であり、実際に活動が確認されているので、Firefox をお使いの場合は必ず最新バージョン(39.0.3)に速やかに更新するようにしてください。
シマンテックは、今後もこの脆弱性の監視を続け、必要に応じて情報を更新する予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】