Firefox 1.5の脆弱性を狙うエクスプロイトコード登場

　Firefoxユーザーへのサイバー攻撃に利用できるコードが公開されたことから、同ブラウザのユーザーは最新版へのアップグレードを一段と迫られている。

　今週はじめにネットで公開されたこの2つのエクスプロイトコードは、Mozilla Foundation（以下、Mozilla）が米国時間2日に公開したアップデートで修正していた脆弱性を悪用するもの。Mozillaは7日、これらのコードが公開されたことを受け、この欠陥の深刻度を「中」から、最も深刻なレベルである「最高」へと引き上げた。

　MozillaのMike Schroepfer（エンジニアリング担当バイスプレジデント）は、「われわれがバージョン1.5.0.1のアップデートをリリースした後に、このエクスプロイトコードは公開された。その時点で、大半のユーザーはすでにアップグレードを済ませていた」と述べている。

　このコードが悪用する脆弱性はFirefoxのLinux版とMax OS X版にあり、これらのブラウザの脆弱なバージョンを使っていると、コンピュータが乗っ取られるおそれがある。なお、このコードは、ハッキングツールとして普及している「Metasploit Framework」の一部として公開された。

　この欠陥はFirefox 1.5特有のもので、Firefox 1.5.0.1では修正されている。Mozillaの勧告によると、この問題はメモリの内容も破壊し、部外者がそれを悪用すれば脆弱なPC上でコードを実行できるようになる場合もあるという。同ブラウザのLocationおよびNavigatorオブジェクトの「QueryInterface」メソッドがコールされるとメモリの破損が発生する。

　MozillaはFirefoxユーザーに対し、修正済みのバージョンをインストールするよう勧告を出している。なお、セキュリティ監視会社のSecuniaではこの脆弱性の深刻度を「非常に重大」としていた。