『Firefox』に重大な脆弱性見つかる

『Internet Explorer』以外の選択肢として、代表的な存在となりつつある Web ブラウザの『Firefox』だが、ほかの人気ブラウザが苦しんだように、攻撃の影響を受けることは避けられないようだ。

Greyhats Security Group やセキュリティ会社の Secunia は7日から8日にかけ、Firefox について、悪質サイトに任意コードの実行を許しかねない2つの脆弱性の詳細を公開した。Secunia は勧告の中で、両脆弱性の危険性を最大に指定している。また Mozilla Foundation も8日、セキュリティ勧告を発表した。

Secunia の勧告によると、1つ目の脆弱性は、IFRAME に JavaScript URL (javascript: で始まる URL) を与えることで、アクセス履歴上の任意のサイトのものとして、スクリプトを実行できるというものだ。もう1つの脆弱性は、拡張機能のインストール確認ダイアログ関連の処理に存在し、拡張機能パッケージのアイコンとして JavaScript URL を与えると、権限が昇格した状態で スクリプトコードを実行できるというものだ。Firefox では、拡張機能のインストールはユーザー側で設定可能な許可リストにあるサイトからしか行なえない。しかしこれら脆弱性を用いることで、許可リストにないサイトに対し、ソフトウェアのインストールを許しかねないという。

Mozilla Foundation は勧告の中で、一時的な対処法として、拡張機能のインストール許可サイトのリストをすべて消去することと、JavaScript を無効にすることを推奨している。同団体によれば、今回の脆弱性は概念実証コードこそ公になったものの、実際の悪用例は今のところ見つかっていないという。また拡張機能配布サイト『Mozilla Update』は、URL の異なる (従ってデフォルトの許可リストに入っていない) 別のサーバーを対策完了までの代替サーバーとして運用し、手作業によるインストールを行なうよう勧めている。

なお Mozilla Foundation は今回の脆弱性に関する根本的な対策について、次のセキュリティ更新で対応すると述べた。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール