人気のFirefoxブラウザに2つの脆弱性が見つかり、いずれも「非常に重大」と評価された。これらの脆弱性のエクスプロイトコードが出回っているためだ。
脆弱性はクロスサイトスクリプティングに関するものと、リモートシステムアクセスに関するもの。両脆弱性ともFirefoxのバージョン1.0.3で見つかったが、他のバージョンにも影響があるかもしれないと、セキュリティ会社Secuniaは指摘している。同社は米国時間8日に危険度評価を発表した。
攻撃者はこれら2つの脆弱性を組み合わせて悪用することが可能だ。しかし、公開されたエクスプロイトコードを攻撃者が利用した事例はまだ見つかっていない。
一方の脆弱性では、「IFRAME」のJavaScript URLが適切に保護されてなく、履歴リスト内の別のURLが実行されてしまう危険性があるというもの。
「悪質なウェブサイトを開くと、そのサイトは、ユーザーが以前開いた他のウェブサイトからクッキー情報を盗み出すおそれがある」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは説明している。攻撃者はその情報を利用してID窃盗をしたり、パスワードで保護されたサイトにアクセスしたりする可能性がある。
2つ目の脆弱性は「InstallTrigger.install()」のIconURLパラメタに存在する。このパラメタに引き渡された情報は使用前にきちんと検証されないので、攻撃者がユーザー権限を入手できてしまう。この欠陥を利用すると、攻撃者はあるシステム上のユーザー権限を入手することができてしまう。
両脆弱性が週末に発見されると、Firefoxを所有するMozilla Foundationは予防措置を講じた。
Mozillaはアップデートサービスを変更し、ユーザーには一時的にJavaScriptを使用不可にするようアドバイスしている。
しかし、Mozillaソフトウェアをサードパーティサイトからダウンロード/インストールしたユーザーは依然として危険にさらされていると、Kristensenは述べている。
「脅威はまだ存在するが、危険性はやや低くなった」とKristensenは指摘する。「ユーザーはサードパーティサイトからソフトウェアをインストールすることもできる。だがそのようなケースは、Mozillaサイトからダウンロードするケースよりもずっと少ないだろう」(Kristensen)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」