MozillaやFirefoxに「７年越しの脆弱性」が復活--セキュリティ企業が警告

　7年前から知られている脆弱性が、最新のFirefoxブラウザにも存在していることが判明したと、Secuniaが警告を発した。この脆弱性を悪用すると、攻撃者は、第三者が運営するウェブサイト上に悪質なコンテンツを表示させることができてしまう。

　この脆弱性は、単一のブラウザウインドウを複数に区切ってそれぞれに別々の内容を表示させる際の、フレーム処理に関連するもの。Firefoxだけでなく、Mozilla Foundationが開発するほかのブラウザも同脆弱性の影響を受ける。Secuniaが米国時間6日に出した勧告によると、これらのアプリケーションは、フレームを使っているウェブコンテンツを表示する際に、すべてのフレームが同じウェブサイトのものかをチェックしていないという。Secuniaは、Firefox 1.x、Mozilla 1.7.x、Camino 0.xの各バージョンにこの脆弱性が存在すると述べる。

　Secuniaによると、この脆弱性を悪用すると、攻撃者は任意のウェブサイトのフレーム内に、他のサイトのコンテンツを表示させることができてしまうという。攻撃者はこれを利用して、オンライン銀行に口座を開設している人から個人情報を盗み出したり、ユーザーに悪質なプログラムをダウンロードさせたりすることが可能である。Secuniaはこの脆弱性を「やや深刻」と評価している。

　Secuniaは2004年7月にも、Mozillaブラウザに同様の脆弱性が存在すると、警告を発していた。しかし当時、最新バージョンのアプリケーションでは、この脆弱性は修正され、存在しなかった。

　ユーザーは、攻撃者のウェブサイトと、信頼できるウェブサイトをそれぞれ別々のウィンドウで表示している場合に、この脆弱性の影響を受ける。この状況下で、ユーザーが悪質なサイト上のリンクをクリックすると、攻撃者の用意したコンテンツが、信頼できるサイトのフレーム内に表示されてしまうと、Secuniaは説明する。同社は、信頼できるサイトとそうでないサイトを同時に訪問しないよう勧告している。

　Mozilla Foundationの関係者によると、MozillaはSecuniaのレポートを調査しているところだという。

　この脆弱性が悪用されたケースはまだ報告されていないと、あるモデレータは、Mozillaウェブサイトのサポート掲示板に6日付けで書き込んでいる。

　このモデレータは、個人データの入力が必要な銀行やオンラインストアのサイトにアクセスするときは、念のため他のウインドウやタブをすべて閉じるよう勧告している。