サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。
Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。
普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コードについて概説したスライドを見せながら、説明を加えた。
この脆弱性はFirefoxのJavaScript実装によるものだ。JavaScriptは10年前に作られたスクリプト言語で、ウェブで広く用いられている。しかし、Spiegelmock氏によると、プログラムに仕掛けをしてスタックオーバーフローを起こすのにとりわけ使えるという。同氏によると、FirefoxのJavaScript実装は「まったく無秩序」で「パッチを当てることは不可能」だという。
MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、JavaScript関連の脆弱性は事実であるようだと述べ「彼らが説明しているのは、古い攻撃の亜種かもしれない。調査を開始する」とした。
同氏は、プレゼンテーションで脆弱性の悪用方法が紹介されたことに不快感を示し「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。これはユーザを危険にさらす行為であり、不幸なことだと思うが、脆弱性の情報を広めることが彼らの目的であるようだ」と述べた。
同氏は、Mozillaの側でも、脆弱性を修正するのに十分なデータをプレゼンテーションで得ただろうとしつつ、ブラウザでJavaScriptを扱う部分に脆弱性の可能性があるようなので、平均的なパッチに比べて解決が困難かもしれないと付け加えた。同氏は「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と述べた。
ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス