『Firefox』に新たな脆弱性？

この記事のURLhttp://japan.internet.com/webtech/20080807/12.html

Mozilla Foundation のオープンソースのブラウザ『Firefox』に脆弱性がある可能性が浮上した。詳細はまだ明らかでないが、攻撃を受けた PC のハードディスクに保存されている任意のデータを盗まれる恐れがあるという。Radware のセキュリティ研究者 Itzik Kotler 氏は、セキュリティ関連カンファレンス『Black Hat』で脆弱性を実証するとしている。

Kotler 氏は JavaScript を使った自らの Firefox 攻撃方法を『Jinx』と呼んでいる。Kotler 氏のリスク評価が正しいとすれば、Jinx は潜在的に数百万人のユーザーを危険にさらすことになる。Mozilla も、ユーザーにとって具体的にどのようなリスクがあるのか明確には把握していないが、この問題に懸念を示している。

Kotler 氏は取材に対し、特に Firefox をターゲットにして脆弱性を探していたことを認めた。「毎日、大勢の人が『Internet Explorer』 (IE) の脆弱性を見つけようと躍起になっている。だから IE をターゲットにして脆弱性を見つけたとしても、また IE かと言われるだけだ。私は何か違うことをしたかった。それなら Firefox がいい、と言われた。出来の良くないブラウザだとは思われていないし、安全性も比較的高いとされているから、挑戦のしがいがあると考えた」

Kotler 氏は、仮想化や SQL インジェクションに依存するのではなく、純粋にブラウザ自体の弱点を突いたマルウェアを目指したという。

「基本的に、Jinx はコンピュータから任意のファイルをダウンロードして、リモートの Web サイトに送信する」と Kotler 氏は述べた。

Kotler 氏は、Mozilla のセキュリティ責任者である Window Snyder 氏に発表資料を Eメールで送り、発見した脆弱性について知らせたという。

Snyder 氏は発表資料を受け取ったことを認めたが、Eメールは1日に届いたばかりだと述べた。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。