Firefoxに情報漏洩の脆弱性――MozillaのCSOが認める
「危険度は低いが、注意は必要」とセキュリティ研究者らが警告米国Mozillaのセキュリティ責任者が1月22日、Webブラウザ「Firefox」に情報漏洩につながるバグが存在することを認めた。これは、同社のCSO(最高セキュリティ責任者)であるウィンドウ・スナイダー(Window Snyder)氏が、Mozillaのセキュリティ・ブログで明らかにしたもの。攻撃者がこの脆弱性を悪用する可能性もあるという。
Snyder氏は、この脆弱性を突くコンセプト実証コードが公開されたという報道を受けて、「問題のバグは、クローム(ユーザー・インタフェースを指すFirefox用語)プロトコルにある」と説明した。
同氏によると、ユーザーのマシンに対するアクセスは、単一のJavaアーカイブ(.jarファイル)に収められているのではなく、フラット・ファイル構造の拡張機能の1つを用いて行われるという。このフラット・ファイル構造を採用している拡張機能には、「Download Statusbar」や「Greasemonkey」といった人気の高いものが含まれている。Snyder氏はセキュリティ・ブログで、「フラット・ファイル構造の拡張機能をインストールしている場合のみ、危険にさらされるおそれがある」と警告している。
この脆弱性を悪用する攻撃者は、ユーザーを偽のWebページに誘い込み、さらに悪質な攻撃を仕掛けるのに役立つ情報を盗み取ろうとしている。「攻撃用の偽ページは、閲覧したユーザーのマシンの既知の場所から、イメージやスクリプト、スタイル・シートなどを読み込む。攻撃者はこの手法を用いて、どのアプリケーションがインストールされているかを示すファイルの存在を探っている。こうして流出した情報は、システムを分析し、別の攻撃を仕掛けるのに悪用される危険性がある」(Snyder氏)
Mozillaのバグ調査および管理用サイト「Bugzilla」に立てられたスレッドによれば、Firefoxの開発者が現在、このバグの修復パッチを進めているが、完成のめどはまだ立ってないという。ちなみに、Snyder氏が例に挙げたDownload StatusbarおよびGreasemonkeyの拡張機能はすでに修正版がリリースされている。
有効な対策としては、「NoScript」という拡張機能を利用する方法がある。NoScriptの作者であるジョルジオ・マオン(Giorgio Maone)氏は、「NoScriptは(拡張機能のインストールやアップグレード状況にかかわらず)クロームのJavaScriptが攻撃コードを読み込むのを抑制することができる」と説明している。
Snyder氏は、このバグによって引き起こされる脅威の危険度は低いと見ているが、今回の脆弱性を発見したセキュリティ研究者のゲリー・アイゼンハワー(Gerry Eisenhauer)氏は、「この脆弱性は、今後深刻な事態を引き起こす危険性を秘めているため注意が必要だ。もっとも今のところは、新たなバグ情報といった程度のものでしかないが」と警告している。
(Gregg Keizer/Computerworld オンライン米国版)
