Firefoxのアドオン「Greasemonkey」にセキュリティ上の欠陥

　Mozilla Foundationが、Firefoxの機能拡張「Greasemonkey」に見つかった重要なセキュリティ上の欠陥に対処するアップデートを公開している。

　Greasemonkeyは、ウェブページのデザインや動きをカスタマイズする人気の高いアドオン。今回明らかにされた欠陥が攻撃者に悪用されると、利ユーザーのローカルハードディスク上にあるすべてのファイルが読まれたり、ローカルディレクトリの内容が一覧表示されてしまうという。Firefoxの開発とマーケティングをコーディネートするMozilla Foundationのダウンロードページには、アップデート版であるGreasemonkey 0.3.5は米国時間18日にリリースされたと書かれている。

　開発者がアプリケーションやアドオンを公開している「Mozdev.org」への書き込みによると、この欠陥は、初期の0.4アルファ版を含むGreasemonkey 0.3.5より前の全バージョンに影響するという。

　だが、機能拡張の情報を専門に扱う「Greaseblog」では、バージョン0.3.5にはGreasemonkeyをHTMLよりも強力にするために考えられた「GM*」APIがなく、その結果これらのAPIに依存するスクリプトはバージョン0.3.5では動かなくなるとしている。ある開発者は「Greasemonkey 0.3.5はGreasemonkeyの去勢バージョンだ」と同ブログに書き込んでいる。

　だが、この書き込みには、0.3.5は現時点で唯一の選択肢だとも書かれている。

　現在この修正の開発に取り組んでいる開発者は、「Greasemonkey 0.3.5をインストールするか、または（前バージョンの）Greasemonkeyを無効化もしくは完全にアンインストールすることを強く勧める」としている。

　この開発者の書き込みによると、この欠陥を悪用した例はまだ報告されていないという。

　Firefoxにはセキュリティ上の欠陥が最近いくつか見つかっており、またMozilla Foundationは今月に入って同ブラウザのセキュリティアップデートをリリースした。

　さらに、先週にはFirefoxブラウザのプロモーションサイトがハッキングされる事件もあった。「SpreadFirefox.com」へのこの攻撃は、セキュリティを同ブラウザの最大のセールスポイントにするMozilla Foundationにとって恥ずべき事態となった。