［米国］
Firefoxに新たな未パッチの脆弱性──ハッカーが攻撃コードをデモ

（2006年10月03日）

　2人のハッカーが10月1日、サンフランシスコで開催されたハッカー向けコンファレンス「ToorCon 2006」（9月29日～10月1日）で、Webブラウザ「Firefox」に未パッチの脆弱性が存在すると発表した。モジラは現在、この脆弱性について調査中としている。

　同コンファレンス内の講演で、ハッカーのミーシャ・スピジェルモック氏とアンドリュー・ベルソワ氏は、FirefoxのJavaScript処理の脆弱性を突く攻撃コードのデモを披露した。

　モジラは翌日、この脆弱性に関する調査を進めていると発表。モジラ広報のメアリー・コルビッグ氏は、詳細が判明し、必要と判断すれば、随時パッチを配布するとしている。

　米国ベリサイン傘下のセキュリティ・サービス会社アイディフェンスの緊急対応チーム・ディレクター、ケン・ダンハム氏は、「この脆弱性が悪用されると、Firefoxユーザーが攻撃者によって細工されたWebサイトを閲覧しただけで、不正なプログラムが実行される」と指摘している。

　同氏は加えて、「不正なプログラムが実行されると、コンピュータ上の利用可能なメモリが攻撃コードによって占有されてしまう。その結果、攻撃者にコンピュータが乗っ取られてしまう」と述べている。

　アイディフェンスの研究所で、この脆弱性を突く実証コードをテストしたところ、コードの信頼性が低いため、Firefoxは強制終了したという。そのためダンハム氏は、今回の脆弱性はそれほど重大な脅威と見ていないものの、「だれかがコードに変更を加えて信頼性を高める必要がある」としている。

　なお、ダンハム氏によると、FirefoxとマイクロソフトのWebブラウザ「Internet Explorer」には、より重大な未パッチの脆弱性がいくつか存在するという。

(エリザベス・モンタルバノ／IDG News Service サンフランシスコ支局)

関連記事