『Firefox』のパスワード管理機能が持つ脆弱性は修正済み？

この記事のURLhttp://japan.internet.com/webtech/20070312/11.html

Web ブラウザ『Firefox 2.0』のパスワード管理機能が持つ不具合は、直ったのか否か。あるセキュリティ研究者はまだ直っていないと主張する一方、開発元の Mozilla は直ったという立場だ。

昨年11月、セキュリティ研究者 Robert Chapin 氏は、Firefox 2.0 のパスワード管理機能『Password Manager』に未対応の脆弱性を発見した。この脆弱性を悪用する Web ページを作成することで、別サイト用の信用情報をフォームに自動記入させることが可能となる。

すでに Mozilla は、セキュリティ更新版 Firefox 2.0.0.2 を公開済みで、同脆弱性も修正したとしている。しかし Chapin 氏は、全面的に同意しているわけではない。

Chapin 氏は9日、Password Manager に関連する22件もの危険性を指摘した勧告 (PDF ファイル) を公開した。勧告では、Mozilla の不具合追跡システム『Bugzilla』に報告したバグ情報3件について言及している。22件の危険性の内訳は、バグ情報「360493」(Bugzilla におけるステータス情報は解決済み) の危険性が20件で、そのほかバグ情報「373154」と「373309」(いずれもステータスは未確認) を合わせて22件となっている。同氏の見解によれば、バグ情報「360493」に関係する危険性のうち Firefox 2.0.0.2 で解決したのは約24％に過ぎないという。

現在のところ、Mozilla の広報担当者からコメントを得ることはできていない。

Chapin 氏によると、残るすべての問題点に関する議論については、同氏が Bugzilla に報告した最初のバグ情報と切り分けるよう Mozilla から要求があり、バグ情報「360493」の未解決問題について、新たに情報を Bugzilla に投稿したという。

Chapin 氏は取材に応じ、次のように述べた。「Mozilla がこのバグ (バグ情報360493) を個別の問題に切り離して議論を始めたいと求めた理由は、主に Bugzilla システムの限界に起因するものだと思う。この際立ったバグ (バグ情報360493) については、非常に多くの関心が集まり、390件の返信メッセージがあった。同じスレッドで議論を続けるためには、毎回それらのメッセージをすべてダウンロードし、リストの最後尾までスクロールしなければならない」

Chapin 氏は、該当のバグに関していくつかの決定が、Bugzilla で行なうオープンな議論の外で行なわれたと説明を続けた。同氏の見解によると、オープン性の欠如はオープンソース開発の考え方全体に反するものだ。

Chapin 氏は次のように述べた。「意思決定プロセスは、もっとスムーズで、もっと参加者が関与するものにできるはずだ。私はこのバグ (バグ情報360493) を『修正済』とみなすのは、やはり早計だと思うが、Mozilla はどのような問題が確認されたかという観点ではなく、パッチが修正したものという観点から、このバグを定義しているようだ」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。