デンマークSecuniaは現地時間11月22日,Webブラウザ「Firefox」にセキュリティ・ホールが見つかったことを明らかにした。Firefoxに記憶させたユーザー名とパスワードを第三者に盗まれる危険性があるという。
今回のセキュリティ・ホールは,Firefoxのパスワード・マネージャに存在する。パスワード・マネージャは,記憶したユーザー名/パスワードを適用するWebページ(フォーム)のURLを適切にチェックしない。ドメイン名が同じであれば,異なるWebページに対しても記憶したユーザー名/パスワードを適用しようとするという。
このため細工が施されたWebページにアクセスすると,同じドメインの別ページで使用しているユーザー名/パスワードを知らないうちに盗まれる恐れがある。
影響を受けるのは,Firefox 1.xならびに2.x。最新版の2.0.0でも今回のセキュリティ・ホールは確認されている。
セキュリティ・ホールの発見者は,Mozilla Foundationに報告済み。発見者の情報によれば,Mozillaは今後リリースするバージョン2.0.0.1あるいは2.0.0.2で修正する予定であるという。
Secuniaによれば,現時点での回避策はパスワード・マネージャを無効にすること。Firefox 2.0では,「ツール」メニューの「オプション」を選択し,「セキュリティ」で表示される「サイトのパスワードを記憶する」のチェックをはずせば無効になる(デフォルトは有効)。
Secuniaでは今回のセキュリティ・ホールの危険度を,5段階評価で下から2番目の「Less Critical」に設定している。
