IEにもFirefoxにもJavaScript処理の脆弱性--次期リリースで修復へ

　MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。

　セキュリティ専門家は今週に入って、「Internet Explorer（IE）」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。

　しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブラウザの次期リリースでこのバグを修復する予定だというが、アップデートされるバージョンの詳細やその時期については明らかになっていない。

　Microsoftの関係者は、「同脆弱性は、悪質な攻撃者がこれを悪用し、ユーザーのマシンにコード攻撃を仕掛けるといった事態を招くものではない。ユーザーにさまざまな操作をさせ、その結果として情報を漏洩させる性質のものだ。Microsoftは、今後リリースするIEの中でこうした問題を解決していく」と、電子メールによる声明に記している。

　Mozillaのエンジニアリング担当バイスプレジデントMike Schroepfer氏も、同様の声明を発表している。「悪用するにはユーザーに一定の作業を行わせなければならず、リモートコードの実行も不可能であることから、この脆弱性は比較的危険度が低いと言える。とはいえ、いかなる問題に対しても当社は真剣に対処している。Firefoxの今後のバージョンで、今回の脆弱性に修復を施すつもりだ」（Schroepfer氏）

　同脆弱性は、JavaScriptのOnKeyDownイベントに関係がある。SymantecおよびSecuniaが今週初めに発表したセキュリティ警告情報によると、攻撃者は悪質なウェブサイトを製作し、ユーザーのキーストロークを隠されたファイルアップロード用のダイアログボックスにひそかに記録して、その後アップロードを実行するのだという。

　この攻撃を成功させるためには、標的としたユーザーに、攻撃者がダウンロードを望むファイルの完全なパスを入力させねばならない。「これを実現するには、標的のユーザーに相当量の文字をタイプさせる必要がある」と、セキュリティ企業Symantecは述べている。攻撃者は、キーボードを使うゲームやブログなどのウェブページを利用して、この脆弱性を悪用する可能性があるという。

　Microsoftは、現時点では同脆弱性を悪用した悪質なコードの存在は確認されていないと話している。