サイト内検索

|  詳細検索

【 ここから本文 】

• TOP
• >  News : セキュリティ
• >  

セキュリティ

---

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

［米国］
モジラ、Firefoxで見つかった脆弱性の危険度を「低」から「中」に変更

「2つの脆弱性が同時に悪用されると危険度が高まる」

（2007年06月07日）

　米国モジラ・コーポレーションは、数日前に発見された「Firefox」の2件の脆弱性について、当初は危険度を「低」と評価していたが、数時間後に「2つの脆弱性が同時に悪用されると危険度が高まる」として同評価を変更していたことが明らかになった。

　今回の脆弱性を発見した研究者で、Webブラウザのバグを定期的に発表しているマイケル・ザレウスキー氏は4日、「Full-disclosure（事実の解明）」と題したメーリング・リストの投稿メールの中で、Webブラウザに関する4件の脆弱性を発表。そのうちFirefoxに関連する2件の危険度をそれぞれ「高」「中」と評価した。

　モジラのチーフ・セキュリティ・オフィサーのウィンドウ・スナイダー氏は5日、先週開設したばかりセキュリティ・ブログ（blog.mozilla.com/security/）で、ザレウスキー氏が危険度「高」と評価したバグについて、危険度を「低」と判定したうえで、次のようにコメントしていた。

　「この脆弱性は、フレームを利用して他のサイトになりすましたサイトにユーザーを誘導する危険性はあるが、コードの実行には至らない。ただ、フィッシング詐欺と組み合わせて悪用される可能性はある」

　これに対して、ザレウスキー氏は電子メールによるインタビューに答え、「モジラではこのバグをよくある“サイトのなりすまし”を許すものとして危険度を『低』と評価しているが、私はそれ以上の危険性があると判断した。しかし、スナイダー氏の評価と私の分析が大きく食い違っているわけではない」と述べていた。

　ところが、モジラのスナイダー氏は同日、「詳しい検証の結果、2件のバグが同時に悪用された場合、ユーザーがアクセス権限を持つシステム内の全ファイルに攻撃者のアクセスを許す可能性がある。この場合の危険度は『中』と評価される」というコメントをブログ上に追加した。

　ザレウスキー氏は、モジラのスナイダー氏との間で意見の食い違いはないとしたうえで、「（今回公表した4件の脆弱性のうち）より重大なのはInternet Explorer（IE）のバグだ。他の3件にも問題はあるが、危険度は『重大』ではない」とし、その点で関係者の意見は一致していると強調した。

　スナイダー氏はブログ記事の中で、危険度「低」とされたバグに関してはモジラのセキュリティ・チームが、原因と見られるコンテント・ハンドラ管理の改善に取りかかったと説明している。

　一方、ザレウスキー氏は、同じく4日に配信した投稿メールの中で、アップルのWebブラウザ「Safari」に関しても、IE 6およびIE 7と同様の危険度「重大」の脆弱性があることを示唆している。

　今年1月にスタートしたアップル製品のバグを公開するプロジェクト「Month of Apple Bugs（MOAB）」の推進者として知られるケビン・フィニステール氏は5日、この脆弱性を確認したことを明らかにしている。

　この件に関してアップルにコメントを求めたが、回答は得られなかった。

(グレッグ・カイザー／Computerworld オンライン米国版)

---

---

▲ページの先頭へ戻る

Insight

---

---

---

---

key Person

---

---

---

---

---

---

---