『Firefox』の脆弱性、『IE』だけの問題ではなかった

脆弱性の問題は、1度の修正で解決することもあれば、そうでないこともある。

Mozilla Foundation のブラウザ『Firefox』に関して言うと、すでに修正済みと発表した脆弱性のうち、少なくとも2件の修正が不完全だったようだ。

Mozilla は18日、『Firefox 2.0.0.5』をリリースした。以前のバージョンには、Microsoft の『Internet Explorer』(IE) が引き起こすとされる脆弱性が存在していたが、最新版ではそれを修正したはずだった。

この脆弱性は7月10日に初めて報告されたもので、Firefox を他の Web ブラウザから起動できる URI ハンドラ「firefoxurl://」が影響を受ける。

Firefox 2.0.0.5 リリースの一環として、Mozilla は「firefoxurl://」に関するセキュリティ勧告を公開し、その中で次のように述べていた。「この修正によって不正なデータが受け入れられないようにできるのは Firefox と『Thunderbird』だけだ。このパッチで IE の脆弱性が修正されるわけではない」

だが、Firefox に不正なデータを渡してしまうのは、IE だけでないことがわかった。

Mozilla の最高セキュリティ責任者 Window Snyder 氏は、自身の Blog で次のように述べている。「これは IE の問題だとわれわれは考えていたが、実際には Firefox の問題でもあることが判明した。Firefox 2.0.0.5 で問題を修正した際に、その可能性を考えてみるべきだった。深く掘り下げて防御することが人々を守る最善の方法だと考えているため、われわれは現在この件について調査中だ」

Mozilla はこれ以外にも長引くセキュリティ問題を抱えている。Firefox ユーザーのパスワードを記憶させるパスワード管理機能に関するものだ。

heise Security のセキュリティ研究者によれば、2006年11月に明らかになったこのパスワード管理機能の問題は、2007年2月リリースの『Firefox 2.0.0.2』で修正済みとなっているが、実際には今も存在しているという。

Firefox のパスワード管理機能の問題が解決しきれていないという指摘は、新しいものではない。今年3月にはセキュリティ研究者の Robert Chapin 氏が、Firefox は依然としてパスワード管理機能に起因する危険にユーザーをさらしていると主張した。

Snyder 氏も、パスワード管理機能には Firefox 2.0.0.2 で修正した以外にも問題があることを認めている。