セキュリティ組織の米US-CERTなどは現地時間10月1日,Webブラウザ「Firefox」の新たなセキュリティ・ホールが報告されたことを明らかにした。細工が施されたWebページにアクセスするだけで,悪質なプログラムを勝手に実行される恐れがあるという。セキュリティ・ホールの詳細やセキュリティ・ホールを突くコード(Exploit)は公表されていない。

 米メディアなどによれば,米国で開催されたセキュリティ会議「ToorCon 2006」において現地時間9月30日,ある発表者によって,Firefoxの新しいセキュリティ・ホールに関するプレゼンテーションが実施されたという。

 セキュリティ・ホールはFirefoxのJavaScriptエンジン(JavaScriptを処理する機能)に関するもの。細工が施されたWebページにFirefoxでアクセスするだけで,悪質なプログラムを勝手に実行されてしまうという。セキュリティ・ホールを突くデモも実施された模様。

 ただし現時点では,新しいセキュリティ・ホールが見つかったことが明らかにされているだけで,その詳細については公開されていない。Exploitも公表されていない。US-CERTでは,詳細が分かり次第,随時公表するとしている。

 現時点では,Firefoxの修正バージョンや修正パッチも未公表。「FirefoxのJavaScript機能を無効にすること」や「信頼できないサイトへアクセスしないこと」などが回避策になると考えられる。デフォルトのFirefoxでは,JavaScriptの一律許可/禁止しか設定できない。このためセキュリティ組織の米SANS Instituteでは,特定のサイトでのみJavaScriptを許可できる拡張機能(エクステンション)「NoScript」を紹介している。

米US-CERTの情報
米SANS Institute