ウェブブラウザ「Firefox 3.5」にJavaScriptに関する深刻な脆弱性が存在すると、Mozillaが発表した。
この脆弱性は、ゼロデイ攻撃に悪用される恐れがあり、Firefox 3.5のジャストインタイム(JIT)JavaScriptコンパイラに存在する。Mozillaは米国時間7月15日付のセキュリティブログへの投稿で、この脆弱性を突く概念実証コードはすでにセキュリティ研究グループによってオンラインに公開されていると認めている。セキュリティ企業のSecuniaは同日、この脆弱性の深刻度を「きわめて深刻(highly critical)」と評価した。
Mozillaによると、このセキュリティホールを突けば、ハッカーは「ドライブバイ攻撃」を仕掛けることができるという。つまり、ユーザーが攻撃コードを含んだウェブサイトを訪問すれば、攻撃者は標的としたマシンで悪意あるコードを実行できる可能性があるということだ。
パッチは今のところリリースされていないが、Mozillaの開発者が修正の作成を行っている。ブログ投稿で勧告されている当面の回避策は、Firefox 3.5のJITコンパイラを無効にするというものだ。ただし、JITコンパイラを無効にするとFirefoxでのJavaScriptのパフォーマンスが低下すると、Mozillaでは警告している。
JITコンパイラは6月末にリリースされたFirefox 3.5で新たに同ブラウザに加えられたJavaScriptエンジン「TraceMonkey」の一部だ。Firefox 3.5ではそれまでのバージョンに比べて高速化が図られているが、TraceMonkeyはブラウザの最適化を意図したものだと、Mozillaでは説明している。
米コンピュータ緊急事態対策チーム(US-CERT)は15日、ユーザーおよび管理者はFirefox 3.5のJavaScript機能を完全に無効化すべきだと表明した。
Sans Instituteも、JavaScriptを無効にすることは可能だと述べ、信頼できるウェブサイトによるスクリプトのみを実行可能にするオープンソースのFirefoxプラグイン「NoScript」の使用を勧めている。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス