『Firefox』に新たな脆弱性？

Mozilla Foundation のオープンソースのブラウザ『Firefox』に脆弱性がある可能性が浮上した。詳細はまだ明らかでないが、攻撃を受けた PC のハードディスクに保存されている任意のデータを盗まれる恐れがあるという。Radware のセキュリティ研究者 Itzik Kotler 氏は、セキュリティ関連カンファレンス『Black Hat』で脆弱性を実証するとしている。

Kotler 氏は JavaScript を使った自らの Firefox 攻撃方法を『Jinx』と呼んでいる。Kotler 氏のリスク評価が正しいとすれば、Jinx は潜在的に数百万人のユーザーを危険にさらすことになる。Mozilla も、ユーザーにとって具体的にどのようなリスクがあるのか明確には把握していないが、この問題に懸念を示している。

Kotler 氏は取材に対し、特に Firefox をターゲットにして脆弱性を探していたことを認めた。「毎日、大勢の人が『Internet Explorer』 (IE) の脆弱性を見つけようと躍起になっている。だから IE をターゲットにして脆弱性を見つけたとしても、また IE かと言われるだけだ。私は何か違うことをしたかった。それなら Firefox がいい、と言われた。出来の良くないブラウザだとは思われていないし、安全性も比較的高いとされているから、挑戦のしがいがあると考えた」

Kotler 氏は、仮想化や SQL インジェクションに依存するのではなく、純粋にブラウザ自体の弱点を突いたマルウェアを目指したという。

「基本的に、Jinx はコンピュータから任意のファイルをダウンロードして、リモートの Web サイトに送信する」と Kotler 氏は述べた。

Kotler 氏は、Mozilla のセキュリティ責任者である Window Snyder 氏に発表資料を Eメールで送り、発見した脆弱性について知らせたという。

Snyder 氏は発表資料を受け取ったことを認めたが、Eメールは1日に届いたばかりだと述べた。