人気のFirefoxブラウザに2つの脆弱性が見つかり、いずれも「非常に重大」と評価された。
脆弱性はクロスサイトスクリプティングに関するものと、リモートシステムアクセスに関するもの。両脆弱性ともFirefoxのバージョン1.0.3で見つかったが、他のバージョンにも影響があるかもしれないと、セキュリティ会社Secuniaは指摘している。同社はこれらの脆弱性のエクスプロイトコードが出回っているため米国時間8日に危険度評価を発表した。
攻撃者はこれら2つの脆弱性を組み合わせて悪用することが可能だ。脆弱性では、「IFRAME」avaScript URLが適切に保護されてなく、履歴リスト内の別のURLが実行されてしまう危険性があるというもの。
「悪質なウェブサイトを開くと、そのサイトは、ユーザーが以前開いた他のウェブサイトからクッキー情報を盗み出すおそれがある」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは説明している。攻撃者はその情報を利用してID窃盗をしたり、パスワードで保護されたサイトにアクセスしたりする可能性がある。
2つ目の脆弱性は「InstallTrigger.install()」のIconURLパラメタに存在する。このパラメタに引き渡された情報は使用前にきちんと検証されないので、攻撃者がユーザー権限を入手できてしまう。この欠陥を利用すると、攻撃者はあるシステム上のユーザー権限を入手することができてしまう。
両脆弱性が週末に発見されると、Firefoxを所有するMozilla Foundationは予防措置を講じた。
Mozillaはアップデートサービスを変更し、ユーザーには一時的にJavaScriptを使用不可にするようアドバイスしている。
しかし、Mozillaソフトウェアをサードパーティサイトからダウンロード/インストールしたユーザーは依然として危険にさらされている。
