Mozilla Foundationが、Firefoxの機能拡張「Greasemonkey」に見つかった重要なセキュリティ上の欠陥に対処するアップデートを公開している。
Greasemonkeyは、ウェブページのデザインや動きをカスタマイズする人気の高いアドオン。今回明らかにされた欠陥が攻撃者に悪用されると、利ユーザーのローカルハードディスク上にあるすべてのファイルが読まれたり、ローカルディレクトリの内容が一覧表示されてしまうという。Firefoxの開発とマーケティングをコーディネートするMozilla Foundationのダウンロードページには、アップデート版であるGreasemonkey 0.3.5は米国時間18日にリリースされたと書かれている。
開発者がアプリケーションやアドオンを公開している「Mozdev.org」への書き込みによると、この欠陥は、初期の0.4アルファ版を含むGreasemonkey 0.3.5より前の全バージョンに影響するという。
だが、機能拡張の情報を専門に扱う「Greaseblog」では、バージョン0.3.5にはGreasemonkeyをHTMLよりも強力にするために考えられた「GM*」APIがなく、その結果これらのAPIに依存するスクリプトはバージョン0.3.5では動かなくなるとしている。ある開発者は「Greasemonkey 0.3.5はGreasemonkeyの去勢バージョンだ」と同ブログに書き込んでいる。
だが、この書き込みには、0.3.5は現時点で唯一の選択肢だとも書かれている。
現在この修正の開発に取り組んでいる開発者は、「Greasemonkey 0.3.5をインストールするか、または(前バージョンの)Greasemonkeyを無効化もしくは完全にアンインストールすることを強く勧める」としている。
この開発者の書き込みによると、この欠陥を悪用した例はまだ報告されていないという。
Firefoxにはセキュリティ上の欠陥が最近いくつか見つかっており、またMozilla Foundationは今月に入って同ブラウザのセキュリティアップデートをリリースした。
さらに、先週にはFirefoxブラウザのプロモーションサイトがハッキングされる事件もあった。「SpreadFirefox.com」へのこの攻撃は、セキュリティを同ブラウザの最大のセールスポイントにするMozilla Foundationにとって恥ずべき事態となった。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?