『Mozilla Suite』と『Firefox』に Web サイト偽装の脆弱性

セキュリティ調査会社 Secunia は6日、Web サイト偽装を許しかねない問題が、Mozilla Foundation のインターネットスイート製品『Mozilla Suite』および人気 Web ブラウザ『Firefox』に見つかったとして、セキュリティ勧告を公開した。

Secunia の勧告によると、『Mozilla Suite 1.7.x』および『Firefox 1.x』に同脆弱性が存在するという。この脆弱性は、ブラウザのウィンドウ間をまたいで、フレームに任意のコンテンツを読み込めるという問題だ。Mozilla Suite と Firefox はどちらも、7月に Secunia が同じ脆弱性の勧告を発表した際に対応していたが、今回再発する形となった。両ブラウザに限定しなければ、こうした悪用手法の存在は、1998年までさかのぼることができる。

Secunia は同脆弱性について、自社の Web フォーラムで次のように記している。「この脆弱性は、信頼できるサイトを閲覧している際に、偽装攻撃者が細工を施したサイトを別ウィンドウで開くと、偽装攻撃者は信頼できるサイトを表示しているウィンドウに、コードを挿入できるというものだ」

Secunia は現時点でこの問題の深刻度を5段階中3番目の「中程度」としており、信頼するサイトを開いている間は、信頼できないサイトを開かないよう呼びかけている。同社はまた、同脆弱性の働きを示すサンプルも公表した。

Mozilla Foundation は先月、Mozilla Suite と Firefox について、脆弱性3件に対応したセキュリティ更新版を公開しているが、これらのバージョンにも今回の脆弱性が存在する。

Mozilla Foundation は、Firefox についてセキュリティの高さを謳っている。しかし第3者的な視点からみれば、利用者規模の小ささゆえに、攻撃対象になりにくかった面があったのも否めない。同ブラウザの人気が高まり、利用者が増えてきたということは、潜在する脆弱性の発見が早まり、迅速な対応が期待できる反面、対応前に攻撃対象となる可能性も高まっている。ある試算では、Firefox がブラウザ市場の10％を占めているという。

Mozilla Foundation は、パスワードや銀行カードやクレジットカードを使う可能性があるサイトにアクセスする場合には、事前にタブを全て閉じるよう呼びかけている。