『Firefox 2.0』のパスワード管理機能に脆弱性

この記事のURLhttp://japan.internet.com/webtech/20061124/12.html

Mozilla Corporation の Web ブラウザ『Firefox 2.0』で、ブラウザのパスワードを記憶させるためのビルトイン機能『Password Manager』を利用している場合、サイトへのログインは速くなるが悪意あるサイトにパスワードを盗まれる可能性がある。

このバグが Mozilla に連絡されてから少なくとも10日が経過しているが、修正パッチは用意されておらず、明白な脆弱性が放置されている。

「今日、単なるクロスサイト フォームを使って Password Manager から情報を引き出すフィッシングが野放しになっているのを見つけて驚いた」と、セキュリティ研究者 Robert Chapin 氏は、11月12日に不具合追跡システム『Bugzilla』に送った Eメールで記している。

「基本手法は明白なものだったので、あちこちから警告の声があがっていて当然だと思ったのだが、まったく出ていなかった」と Chapin 氏は語った。

この脆弱性を利用すると、別のサイトに送る信用情報をフォームに自動記入させる悪意あるページが作成できる。どうやら、『Firefox 2.0』やそれ以前のバージョンには、信用情報が不適切なサイト用に抜き出されて第三者に渡ることをチェックする機能が備わっていないようだ。

脆弱性の詳細が最初に明らかになったのは今週だ。Mozilla の開発チームからはまだ修正パッチが公開されていない。

対策は、ウェブサーフィンを慎重にすることだ。あるいは、修正パッチが発表されるまで、Password Manager の機能を使わないようにするのも一方法だ。A.D.Consulting が運営するセキュリティ警告サイト『FrSIRT』は、メニューバーの「ツール」から「オプション」を選択し、「パスワード」タブにある「パスワードを記憶する」のチェックをはずすように勧めている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。