『Firefox 2.0』のパスワード管理機能に脆弱性

Mozilla Corporation の Web ブラウザ『Firefox 2.0』で、ブラウザのパスワードを記憶させるためのビルトイン機能『Password Manager』を利用している場合、サイトへのログインは速くなるが悪意あるサイトにパスワードを盗まれる可能性がある。

このバグが Mozilla に連絡されてから少なくとも10日が経過しているが、修正パッチは用意されておらず、明白な脆弱性が放置されている。

「今日、単なるクロスサイト フォームを使って Password Manager から情報を引き出すフィッシングが野放しになっているのを見つけて驚いた」と、セキュリティ研究者 Robert Chapin 氏は、11月12日に不具合追跡システム『Bugzilla』に送った Eメールで記している。

「基本手法は明白なものだったので、あちこちから警告の声があがっていて当然だと思ったのだが、まったく出ていなかった」と Chapin 氏は語った。

この脆弱性を利用すると、別のサイトに送る信用情報をフォームに自動記入させる悪意あるページが作成できる。どうやら、『Firefox 2.0』やそれ以前のバージョンには、信用情報が不適切なサイト用に抜き出されて第三者に渡ることをチェックする機能が備わっていないようだ。

脆弱性の詳細が最初に明らかになったのは今週だ。Mozilla の開発チームからはまだ修正パッチが公開されていない。

対策は、ウェブサーフィンを慎重にすることだ。あるいは、修正パッチが発表されるまで、Password Manager の機能を使わないようにするのも一方法だ。A.D.Consulting が運営するセキュリティ警告サイト『FrSIRT』は、メニューバーの「ツール」から「オプション」を選択し、「パスワード」タブにある「パスワードを記憶する」のチェックをはずすように勧めている。