『IE』と『Firefox』にさらに未解決の脆弱性

Microsoft (NASDAQ:MSFT) の『Internet Explorer』(IE) か Mozilla Foundation の『Firefox』のユーザーは、また新たな問題に悩まされるかもしれない。どちらのブラウザも、いまだに複数の危険度の高い脆弱性に晒されていると指摘されたからだ。

セキュリティ専門家の Michal Zalewski 氏はあるメーリングリストで、これらのブラウザには、完全にパッチを適用した状態でも2つの脆弱性が存在していると主張した。また、さらに追い打ちをかけるように、別のセキュリティ専門家は、Mozilla Foundation が最近実施したアップデートが事態をさらに悪化させた可能性があると指摘している。

『IE 6』と『IE 7』の場合は、ページ更新時に競合状態になり、クッキーを盗まれたり、ページを乗っ取られたり、メモリが破壊されたりする可能性があると Zalewski 氏は言う。

さらに同氏によれば、IE 6 ではアドレスバーが偽装され、フィッシング詐欺に利用された例が実際にあったという。

Microsoft の広報担当は取材に応え、IE に2件の脆弱性が存在する可能性があるという新たな指摘について、調査を実施しているところだと語った。今のところ、Microsoft には、指摘された脆弱性の悪用を試みた攻撃があったとの報告はないという。

Zalewski 氏は、IE の問題を指摘しただけではなく、Firefox にも2つのセキュリティホールがあることを発見している。

その1つは、IFRAME を利用したページが、クロスサイト スプリクティングの脆弱性によって乗っ取られるというものだ。これにより、悪意のあるユーザーが JavaScript を利用して悪意あるコードを送ることが可能になる。IFRAME は HTML タグで記述するインラインフレームで、多くの Web サイトで使われている。

これに比べれば危険性は低いと Zalewski 氏が指摘する2つめの脆弱性は、攻撃者が Firefox のファイルプロンプトの表示を遅らせることによって、何も知らないユーザーに任意のファイルをダウンロードさせることができるというものだ。

Mozilla Foundation は、Zalewski 氏の指摘した2つの脆弱性を把握しているが、その深刻度は低いと判断している。

しかし、Mozilla Foundation が注意すべきなのは、まだパッチを適用していない欠陥にとどまらない可能性がある。セキュリティ専門家 Thor Larholm 氏によると、最新の『Firefox 2.0.0.4』でパッチを適用したと Mozilla Foundation が主張している脆弱性の1つは、実際にはまだ解決されていないということだ。