ブラウザの脆弱性を毎日公表するプロジェクトが開始

この記事のURLhttp://japan.internet.com/webtech/20060706/11.html

Web ブラウザの新たな脆弱性が報告されずに1週間が過ぎることはほとんどない。あるセキュリティ研究者は今月、サイクルをさらに短縮して、毎日新しい脆弱性を報告しようとしている。

そのセキュリティ研究者 H D Moore 氏は、これまでのところ約束した通りに活動している。

Moore 氏は、悪質コードに対する脆弱性をチェックできるオープンソースのセキュリティ プラットフォーム『Metasploit Framework』を共同開発した人物だ。

Microsoft の Web ブラウザ『Internet Explorer』(IE) に存在する脆弱性を突く概念実証コードは、これまでにも Metasploit に多数含まれていた。2005年末に見つかり、特に深刻なゼロデイ攻撃を招いた『Windows Metafile Format』(WMF) に関する脆弱性もその1つだ。

Moore 氏は先日、自身の Blog で、ベンダーには通知したと主張している。

Moore 氏および Microsoft からは、本稿締め切りまでにコメントは得られなかった。

Moore 氏はこの7月を『Month of Browser Bugs』(MoBB) プロジェクト月間とし、新しい脆弱性を毎日1つ発表すると約束した。

「この情報は、現在のブラウザに存在するバグがどのような種類のものかということを人びとに気づかせ、わたしがそれらを発見するのに使ったテクニックを示すために公表するものだ」と、Moore 氏は Blog に書いている。

同プロジェクトで公表される脆弱性のうち、危険度のきわめて高いものがどれだけあるかは不明だ。しかし、すでに発表されたものから判断するなら、かなり多くなる可能性もある。

セキュリティ会社の Secunia は、7月2日に「MoBB #2: Internet.HHCtrl Image Property」というタイトルで Moore 氏が指摘した脆弱性の深刻度を、5段階のうち上から2番目と評価した。

問題の脆弱性は、『HTML Help ActiveX』コントロール「hhctrl.ocx」が画像のプロパティを処理する方法に問題があり、任意のコード実行を許しかねないという。

Moore 氏は3月6日にこの脆弱性を Microsoft に報告したと話している。しかし、今のところ同脆弱性に対する修正パッチは用意されていない。

Moore 氏はなにも IE だけをターゲットにしているわけではない。同氏は、Mozilla Foundation の『Firefox』や Apple Computer の『Safari』についても同様に脆弱性を報告している。

MoBB で報告された脆弱性「MoBB #5: DHTML setAttributeNode()」は、完全に修正パッチを適用した『Mac OS X 10.4.7』上で稼動する、Apple の Safari 2.0.4 に影響を及ぼす脆弱性に言及したものだ。MoBB によると、同脆弱性はブラウザのクラッシュを引き起こす可能性があるという。

ここに挙げた MoBB #2 と MoBB #5 については、現在まだベンダーからの正式な修正パッチが公開されたようすはない。