Firefoxのアドオン「Greasemonkey」にセキュリティ上の欠陥

Dawn Kawamoto(CNET News.com)2005年07月21日 10時38分
  • このエントリーをはてなブックマークに追加

 Mozilla Foundationが、Firefoxの機能拡張「Greasemonkey」に見つかった重要なセキュリティ上の欠陥に対処するアップデートを公開している。

 Greasemonkeyは、ウェブページのデザインや動きをカスタマイズする人気の高いアドオン。今回明らかにされた欠陥が攻撃者に悪用されると、利ユーザーのローカルハードディスク上にあるすべてのファイルが読まれたり、ローカルディレクトリの内容が一覧表示されてしまうという。Firefoxの開発とマーケティングをコーディネートするMozilla Foundationのダウンロードページには、アップデート版であるGreasemonkey 0.3.5は米国時間18日にリリースされたと書かれている。

 開発者がアプリケーションやアドオンを公開している「Mozdev.org」への書き込みによると、この欠陥は、初期の0.4アルファ版を含むGreasemonkey 0.3.5より前の全バージョンに影響するという。

 だが、機能拡張の情報を専門に扱う「Greaseblog」では、バージョン0.3.5にはGreasemonkeyをHTMLよりも強力にするために考えられた「GM*」APIがなく、その結果これらのAPIに依存するスクリプトはバージョン0.3.5では動かなくなるとしている。ある開発者は「Greasemonkey 0.3.5はGreasemonkeyの去勢バージョンだ」と同ブログに書き込んでいる。

 だが、この書き込みには、0.3.5は現時点で唯一の選択肢だとも書かれている。

 現在この修正の開発に取り組んでいる開発者は、「Greasemonkey 0.3.5をインストールするか、または(前バージョンの)Greasemonkeyを無効化もしくは完全にアンインストールすることを強く勧める」としている。

 この開発者の書き込みによると、この欠陥を悪用した例はまだ報告されていないという。

 Firefoxにはセキュリティ上の欠陥が最近いくつか見つかっており、またMozilla Foundationは今月に入って同ブラウザのセキュリティアップデートをリリースした。

 さらに、先週にはFirefoxブラウザのプロモーションサイトがハッキングされる事件もあった。「SpreadFirefox.com」へのこの攻撃は、セキュリティを同ブラウザの最大のセールスポイントにするMozilla Foundationにとって恥ずべき事態となった。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加