【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
Firefoxに新たな未パッチの脆弱性──ハッカーが攻撃コードをデモ
(2006年10月03日)
2人のハッカーが10月1日、サンフランシスコで開催されたハッカー向けコンファレンス「ToorCon 2006」(9月29日〜10月1日)で、Webブラウザ「Firefox」に未パッチの脆弱性が存在すると発表した。モジラは現在、この脆弱性について調査中としている。
同コンファレンス内の講演で、ハッカーのミーシャ・スピジェルモック氏とアンドリュー・ベルソワ氏は、FirefoxのJavaScript処理の脆弱性を突く攻撃コードのデモを披露した。
モジラは翌日、この脆弱性に関する調査を進めていると発表。モジラ広報のメアリー・コルビッグ氏は、詳細が判明し、必要と判断すれば、随時パッチを配布するとしている。
米国ベリサイン傘下のセキュリティ・サービス会社アイディフェンスの緊急対応チーム・ディレクター、ケン・ダンハム氏は、「この脆弱性が悪用されると、Firefoxユーザーが攻撃者によって細工されたWebサイトを閲覧しただけで、不正なプログラムが実行される」と指摘している。
同氏は加えて、「不正なプログラムが実行されると、コンピュータ上の利用可能なメモリが攻撃コードによって占有されてしまう。その結果、攻撃者にコンピュータが乗っ取られてしまう」と述べている。
アイディフェンスの研究所で、この脆弱性を突く実証コードをテストしたところ、コードの信頼性が低いため、Firefoxは強制終了したという。そのためダンハム氏は、今回の脆弱性はそれほど重大な脅威と見ていないものの、「だれかがコードに変更を加えて信頼性を高める必要がある」としている。
なお、ダンハム氏によると、FirefoxとマイクロソフトのWebブラウザ「Internet Explorer」には、より重大な未パッチの脆弱性がいくつか存在するという。
(エリザベス・モンタルバノ/IDG News Service サンフランシスコ支局)
- モジラ
- http://www.mozilla.com/
- 「ToorCon 2006」
- http://www.toorcon.org/
