より安全な選択肢としてMozillaベースのブラウザに注目するユーザーは、乗り換えをあと1週間待ったほうが良いかもしれない。
それは、ブラウザの証明書処理方法に関する深刻な欠陥が2つあることを、オープンソースブラウザの開発グループであるMozilla Foundationが認めているためだ。証明書とは、ウェブサイトの認証処理に使うデジタル書類のこと。
問題のコードは、同ブラウザがNetscapeに所有されていた時代に書かれたものだったため、この脆弱性はエンジニアの予想外だった、とMozillaでは話している。
Mozilla FoundationのエンジニアリングディレクターChris Hofmannは、「このセキュリティコードは6〜7年前から存在しており、深刻なバグはNetscape 4.0のときに解決されていた。深刻な問題はかなり長い間見つかっていなかったので、今回は驚いた」と語った。
証明書処理に関する欠陥は、Mozilla Foundationにとって厄介な時期に発見された。セキュリティ専門家が、市場を独占するMicrosoftのInternet Explorer(IE)に代わる、より安全な選択肢としてOperaなどと共にこのブラウザを推奨していた。
Mozillaや、IEのライバル各社は、自分たちの方が根本的に信頼できるセキュリティモデルを持っていると主張する一方で、IEのセキュリティホールが悪用されるのは、単純にMicrosoftが市場のリーダーであるからだということも認めている。
2つあるバグのうちの1つは、研究者のEmmanouel Kellinisによってウェブに掲載されたほか、セキュリティ情報を扱うBugtraqというメーリングリストでも公表されている。内容は、ウェブサイト制作者は悪意を持てば、自分のサイトを、銀行や大企業などの信頼できるサイトであるかのように見せかけて、サイト訪問者をだますことができるとういもの。
標準的なウェブシステムでは、サーファーが訪問したウェブサイトとは違うところからコンテンツを引き出すことがあり、このバグはこうした仕組みと関係している。
信頼できるウェブサイトがサードパーティからコンテンツを引き出した場合、そのコンテンツはブラウザのキャッシュに保存される。こうしたコンテンツをユーザーに表示する場合、ブラウザは鍵の形をしたセキュリティアイコンをロックされていない形に変更し、ユーザーに警告する。
しかし、Mozillaのキャッシングシステムには問題があって、ほかのサイトからコンテンツを読み込んでいるときもロックされた状態の鍵アイコンを表示してしまい、悪質なサイトは信頼できるサイトのセキュリティ証明書を表示できてしまう。
これを悪用すれば、自分が制作したサイトをeBayやBank of Americaといった信頼できるサイトのように見せかけることができ、ユーザーからクレジットカードや身元情報を盗み出すことができてしまう。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力