FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も

　サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。

　Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。

　普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コードについて概説したスライドを見せながら、説明を加えた。

　この脆弱性はFirefoxのJavaScript実装によるものだ。JavaScriptは10年前に作られたスクリプト言語で、ウェブで広く用いられている。しかし、Spiegelmock氏によると、プログラムに仕掛けをしてスタックオーバーフローを起こすのにとりわけ使えるという。同氏によると、FirefoxのJavaScript実装は「まったく無秩序」で「パッチを当てることは不可能」だという。

　MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、JavaScript関連の脆弱性は事実であるようだと述べ「彼らが説明しているのは、古い攻撃の亜種かもしれない。調査を開始する」とした。

　同氏は、プレゼンテーションで脆弱性の悪用方法が紹介されたことに不快感を示し「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。これはユーザを危険にさらす行為であり、不幸なことだと思うが、脆弱性の情報を広めることが彼らの目的であるようだ」と述べた。

　同氏は、Mozillaの側でも、脆弱性を修正するのに十分なデータをプレゼンテーションで得ただろうとしつつ、ブラウザでJavaScriptを扱う部分に脆弱性の可能性があるようなので、平均的なパッチに比べて解決が困難かもしれないと付け加えた。同氏は「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と述べた。

　ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。