FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年10月02日 11時50分

 サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。

 Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。

 普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コードについて概説したスライドを見せながら、説明を加えた。

 この脆弱性はFirefoxのJavaScript実装によるものだ。JavaScriptは10年前に作られたスクリプト言語で、ウェブで広く用いられている。しかし、Spiegelmock氏によると、プログラムに仕掛けをしてスタックオーバーフローを起こすのにとりわけ使えるという。同氏によると、FirefoxのJavaScript実装は「まったく無秩序」で「パッチを当てることは不可能」だという。

 MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、JavaScript関連の脆弱性は事実であるようだと述べ「彼らが説明しているのは、古い攻撃の亜種かもしれない。調査を開始する」とした。

 同氏は、プレゼンテーションで脆弱性の悪用方法が紹介されたことに不快感を示し「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。これはユーザを危険にさらす行為であり、不幸なことだと思うが、脆弱性の情報を広めることが彼らの目的であるようだ」と述べた。

 同氏は、Mozillaの側でも、脆弱性を修正するのに十分なデータをプレゼンテーションで得ただろうとしつつ、ブラウザでJavaScriptを扱う部分に脆弱性の可能性があるようなので、平均的なパッチに比べて解決が困難かもしれないと付け加えた。同氏は「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と述べた。

 ハッカー達は、パッチが公開されていないFirefoxの脆弱性を30くらい知っていると主張している。彼らがその情報を公開する予定はなく、自分たちだけの情報としている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]