Firefoxに2件の「非常に重大な」脆弱性が発覚

　人気のFirefoxブラウザに2つの脆弱性が見つかり、いずれも「非常に重大」と評価された。これらの脆弱性のエクスプロイトコードが出回っているためだ。

　脆弱性はクロスサイトスクリプティングに関するものと、リモートシステムアクセスに関するもの。両脆弱性ともFirefoxのバージョン1.0.3で見つかったが、他のバージョンにも影響があるかもしれないと、セキュリティ会社Secuniaは指摘している。同社は米国時間8日に危険度評価を発表した。

　攻撃者はこれら2つの脆弱性を組み合わせて悪用することが可能だ。しかし、公開されたエクスプロイトコードを攻撃者が利用した事例はまだ見つかっていない。

　一方の脆弱性では、「IFRAME」のJavaScript URLが適切に保護されてなく、履歴リスト内の別のURLが実行されてしまう危険性があるというもの。

　「悪質なウェブサイトを開くと、そのサイトは、ユーザーが以前開いた他のウェブサイトからクッキー情報を盗み出すおそれがある」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは説明している。攻撃者はその情報を利用してID窃盗をしたり、パスワードで保護されたサイトにアクセスしたりする可能性がある。

　2つ目の脆弱性は「InstallTrigger.install()」のIconURLパラメタに存在する。このパラメタに引き渡された情報は使用前にきちんと検証されないので、攻撃者がユーザー権限を入手できてしまう。この欠陥を利用すると、攻撃者はあるシステム上のユーザー権限を入手することができてしまう。

　両脆弱性が週末に発見されると、Firefoxを所有するMozilla Foundationは予防措置を講じた。

　Mozillaはアップデートサービスを変更し、ユーザーには一時的にJavaScriptを使用不可にするようアドバイスしている。

　しかし、Mozillaソフトウェアをサードパーティサイトからダウンロード／インストールしたユーザーは依然として危険にさらされていると、Kristensenは述べている。

　「脅威はまだ存在するが、危険性はやや低くなった」とKristensenは指摘する。「ユーザーはサードパーティサイトからソフトウェアをインストールすることもできる。だがそのようなケースは、Mozillaサイトからダウンロードするケースよりもずっと少ないだろう」(Kristensen)