『Firefox』のパスワード管理機能が持つ脆弱性は修正済み？

Web ブラウザ『Firefox 2.0』のパスワード管理機能が持つ不具合は、直ったのか否か。あるセキュリティ研究者はまだ直っていないと主張する一方、開発元の Mozilla は直ったという立場だ。

昨年11月、セキュリティ研究者 Robert Chapin 氏は、Firefox 2.0 のパスワード管理機能『Password Manager』に未対応の脆弱性を発見した。この脆弱性を悪用する Web ページを作成することで、別サイト用の信用情報をフォームに自動記入させることが可能となる。

すでに Mozilla は、セキュリティ更新版 Firefox 2.0.0.2 を公開済みで、同脆弱性も修正したとしている。しかし Chapin 氏は、全面的に同意しているわけではない。

Chapin 氏は9日、Password Manager に関連する22件もの危険性を指摘した勧告 (PDF ファイル) を公開した。勧告では、Mozilla の不具合追跡システム『Bugzilla』に報告したバグ情報3件について言及している。22件の危険性の内訳は、バグ情報「360493」(Bugzilla におけるステータス情報は解決済み) の危険性が20件で、そのほかバグ情報「373154」と「373309」(いずれもステータスは未確認) を合わせて22件となっている。同氏の見解によれば、バグ情報「360493」に関係する危険性のうち Firefox 2.0.0.2 で解決したのは約24％に過ぎないという。

現在のところ、Mozilla の広報担当者からコメントを得ることはできていない。

Chapin 氏によると、残るすべての問題点に関する議論については、同氏が Bugzilla に報告した最初のバグ情報と切り分けるよう Mozilla から要求があり、バグ情報「360493」の未解決問題について、新たに情報を Bugzilla に投稿したという。

Chapin 氏は取材に応じ、次のように述べた。「Mozilla がこのバグ (バグ情報360493) を個別の問題に切り離して議論を始めたいと求めた理由は、主に Bugzilla システムの限界に起因するものだと思う。この際立ったバグ (バグ情報360493) については、非常に多くの関心が集まり、390件の返信メッセージがあった。同じスレッドで議論を続けるためには、毎回それらのメッセージをすべてダウンロードし、リストの最後尾までスクロールしなければならない」

Chapin 氏は、該当のバグに関していくつかの決定が、Bugzilla で行なうオープンな議論の外で行なわれたと説明を続けた。同氏の見解によると、オープン性の欠如はオープンソース開発の考え方全体に反するものだ。

Chapin 氏は次のように述べた。「意思決定プロセスは、もっとスムーズで、もっと参加者が関与するものにできるはずだ。私はこのバグ (バグ情報360493) を『修正済』とみなすのは、やはり早計だと思うが、Mozilla はどのような問題が確認されたかという観点ではなく、パッチが修正したものという観点から、このバグを定義しているようだ」