「Firefox 2」に新たなサービス拒否脆弱性

　新しくリリースされた「Firefox 2」ブラウザに、クラッシュを引き起こす可能性のある2つ目のセキュリティ脆弱性が存在していることが公になった。

　同脆弱性は、オープンソースブラウザであるFirefox 2が、JavaScriptコードを処理する方法に関係している。Firefoxを提供しているMozillaの関係者は、米国時間11月1日、脆弱性の悪用されたウェブページを閲覧することでブラウザが強制終了してしまうと説明した。もっとも、セキュリティメーリングリストなどで指摘されている内容とは逆に、このバグが、Firefox 2が稼働するPC上で任意のコードを実行するのに悪用されることはないと、同関係者は述べている。

　今回の脆弱性は、「JavaScript Range」と呼ばれるオブジェクトに存在し、Mozillaが先週その存在を認めたFirefox 2のサービス拒否（Denial of Service：DoS）脆弱性とは異なる。Firefoxの過去のバージョンで修正されている、より深刻な脆弱性と関係しているとMozillaは話した。

　Firefox 2のリリースからおよそ1週間を経たが、一般に公開され、なおかつMozillaが確認した脆弱性は、これら2件のみである。Mozillaは、いずれも軽微な問題だとしている。

　一方、Microsoftの新ブラウザ「Internet Explorer 7」は、米国時間10月18日のリリース後わずか1週間で、なりすましの原因となり得る脆弱性を含んでいることが明らかになった。この脆弱性は、フィッシング詐欺を隠ぺいするため、犯罪者に悪用されるおそれがある。Microsoftは、フィッシング詐欺に対抗できるブラウザとして、IE 7をデザインしていた。

　セキュリティ監視企業Secuniaによると、IE 7には、少なくともこのほか2件の脆弱性が存在しているという。Microsoftはこの件については反論し、報じられた問題の1つはIE 7ではなく「Outlook Express」に関するものであること、さらに他方の問題は製品仕様の一端であって脆弱性ではないことを強調している。

　人気の高いウェブブラウザの新版が相次いでリリースされたことにより、バグハンターたちは、どちらかのプログラムで最初のセキュリティホールを見つけてやろうと躍起になった。現時点では、そうして発見された脆弱性が、同ブラウザが稼働しているPCの乗っ取りに悪用されたケースは見られていない。こうした攻撃を招く脆弱性は、最も危険性の高いものと考えられている。