［米国］
Firefoxの危険度が「高」に――修正パッチは2月5日に提供

「一部データの漏洩ではすまない危険がある」と研究者

（2008年01月31日）

　米国Mozillaは1月30日、同社のWebブラウザ「Firefox」で見つかったバグの危険度を「低」から「高」へと上げたことを明らかにした。このバグの修正パッチは、2月5日に提供される予定のFirefox 2.0.0.12セキュリティ・アップデートに同梱されるという。

　同社のCSO（最高セキュリティ責任者）であるウィンドウ・スナイダー（Window Snyder）氏は、「600種類以上あるアドオンのいくつかを動作させた場合に、Firefoxの脆弱性が悪用され、クッキーやセッション履歴を含む情報が盗まれるおそれがある」としている。

Eisenhaur氏のブログ・サイトhiredhacker.comの一部。バグについての追加コメントが掲載されている

　Snyder氏のこの発言は、Firefoxの同バグを最初に報告した研究者、ゲリー・アイゼンハワー（Gerry Eisenhaur）氏による新たな発表を受けたものだ。Eisenhaur氏は自身のブログ・サイト「hiredhacker.com」に、「この脆弱性がどれほど危険なものなのか、正確に伝わっていない節がある。（このバグには）単に一部のデータを漏洩させるだけでなく、それ以上の危険がある。今回もまた、sessionstore.jsファイルを読み取るデモを作ってみた。ウィンドウやタブ、クッキーなど、セッションに関する情報が漏れているのを目の当たりにできるだろう」と記している。

　MozillaのSnyder氏は1月29日、「Firefoxの全ユーザーが危険にさらされているわけではない。フラット・ファイル構造を採用したアドオンをインストールしているユーザーだけが危険なのだ」と語った。

　とはいえ、それに該当するアドオンの数は膨大だ。その中には「YouTube IT」や「Foxmarks Bookmark Synchronizer」といった有名どころも含まれている。Snyder氏はアドオンの作者らに、フラット・ファイル構造ではなく単一のJavaアーカイブ（.jarファイル）としてアドオンをパッケージしなおし、この脆弱性の影響を受けないようにしてほしいと促している。

　なお、人気の高いアドオン「NoScript」を利用すれば、どのアドオンがインストールされていようと、脆弱性に対する攻撃から身を守ることができるという。

(Gregg Keizer／Computerworld オンライン米国版)