米Mozillaの開発者向けサイト「Mozilla Developer Center」において現地時間10月2日,Firefoxの新しいセキュリティ・ホールを見つけたと発表した人物のコメントが公開された。それによると,そのセキュリティ・ホールを突いて任意のプログラムを実行できるとした実証コードが,実際にはFirefoxを不正終了させることしかできないという。

 米国で開催されたセキュリティ会議「ToorCon 2006」において現地時間9月30日,ある2名の発表者によって,Firefoxに新しいセキュリティ・ホールを発見したとするプレゼンテーションが実施された。FirefoxのJavaScriptエンジンには,任意のプログラムを実行される危険なセキュリティ・ホールが存在するという。

 プレゼンテーションでは,そのセキュリティ・ホールを突いて任意のプログラムを実行できるとする実証コードを公開するとともに,「これ以外にも,Firefoxの未公開セキュリティ・ホールを30個知っている」といった発言をしたと伝えられている。

 このプレゼンテーションを受けて,米US-CERTや米SANS Instituteでは,危険なセキュリティ・ホールが見つかった可能性があることを公表。米Mozillaのセキュリティ・チーフであるWindow Snyder氏は現地時間10月2日,「Mozilla Developer Center」において,そのセキュリティ・ホールに関する調査を開始したことを明らかにした。

 Snyder氏の情報によれば,発表者の情報に基づいて調査したところ,その時点では,Firefoxが不正終了する場合があることは確認できたものの,任意のプログラムが実行されることは確認できなかったとしていた。

 上記の情報を公開してからおよそ4時間後,Snyder氏は同じく「Mozilla Developer Center」において追加情報を公開。同氏は,発表者のうちの一人のコメントを紹介した。

 それによると,危険なセキュリティ・ホールが見つかったとしたプレゼンテーションの主な目的は「おもしろくあること(The main purpose of our talk was to be humorous.)」で,(セキュリティ・ホールを突いて任意のプログラムを実行できると)紹介した実証コードで,任意のプログラムを実行することはできなかったとする。

 また,その発表者は「30個の未公開セキュリティ・ホールを知らないし,知っているとも発言しなかった」という。そして,「もう一人の発表者が『知っている』と主張したが,本当に知っているかどうかは分からない」としている。そして,「関係者のみなさんに謝罪する」と結んでいる。

 とはいえSANS Instituteのブログでは,この発表者のコメントがあったからといって,今回見つかったとされるセキュリティ・ホールを「でたらめ」と片付けることはできないとしている。Firefoxを不正終了させるセキュリティ・ホールが見つかったことは確かなようであり,今後,任意のプログラムを実行できる攻撃方法が見つかる可能性を否定できないためだ。

 Snyder氏も,「発見者の一人は任意のプログラムを実行できなかったと言うが,我々は今回の問題を重く受け止め,今後も調査を続ける」としている。

Mozilla Developer Centerの情報(1)
Mozilla Developer Centerの情報(2)
米SANS Instituteの情報