デンマークのSecuniaは現地時間7月10日,Webブラウザ「Mozilla Firefox 2.0.x」のURIハンドラに極めて重大な(Highly critical)セキュリティ・ホール「SA25984」(Secuniaの警告ID)が存在すると発表した。このセキュリティ・ホールを悪用すると,遠隔地からシステムに不正アクセスできる。

 このセキュリティ・ホールは,Firefoxが「firefoxurl://」で始まるURIを受け取った際,「-chrome」パラメータの処理に問題があるためJavaScriptコマンドを実行するというもの。例えば,ユーザーが米MicrosoftのInternet ExplorerでWebページを閲覧中に悪意のある「firefoxurl://……」というリンクをクリックすると,Firefoxが起動されて任意のコマンドを実行してしまう。

 SecuniaはWindows XP SP2とFirefox 2.0.0.4の組み合わせで同セキュリティ・ホールの存在を確認したが,ほかのバージョンにも同じ問題があると見る。修正パッチはまだ用意されていない。Secuniaでは,「firefoxurl://」のURIハンドラを無効化することと,信頼できないWebサイトをアクセスしないことを推奨している。

 なお米国政府向けの技術支援や研究開発を行う非営利組織MITREは7月10日,同セキュリティ・ホールに管理番号「CVE-2007-3670」を割り当てた。

 米メディア(InfoWorld)によると,Firefoxの開発元である米Mozilla Foundationは,次回のソフトウエア・アップデートでこのセキュリティ・ホールを修正するという。

[発表資料へ]