デンマークSecuniaなどは現地時間4月4日,Webブラウザ「Mozilla Firefox」やスイート・ソフト「Mozilla Suite」に見つかったセキュリティ・ホールを公表した(参考資料1,参考資料2)。細工が施されたWebページにアクセスすると,パソコンのメモリー内の情報を読み取られる可能性がある。いずれについても修正したバージョンは未公開。対策はJavaScriptを無効にすることなど。
今回のセキュリティ・ホールは,それぞれの最新版Firefox 1.0.2およびMozilla 1.7.6で確認されている。Secuniaによれば,以前のバージョンも影響を受けるとしている。
セキュリティ・ホールは,FirefoxおよびMozillaに含まれるJavaScriptエンジンに存在する。JavaScriptのある関数を呼び出すようなWebページにアクセスすると,メモリー内の情報を読み取られる恐れがある。
Secuniaではデモ・ページを用意。写真は,Firefox 1.0.2でデモ・ページにアクセスした結果である(拡大表示)。同ページにアクセスして,指定のリンクをクリックすると,メモリー内の情報がページ上に表示される。
現時点では,このセキュリティ・ホールを修正したバージョンは公開されていない。このため,JavaScriptを無効にすることが対策となる。「ツール」メニューの「オプション」から「Web機能」を選択すれば,「JavaScriptを有効にする」のチェック・ボックスが表示される。このチェックを外せば,JavaScriptは無効になる(デフォルトは有効)。
また,信頼できないページを閲覧しないことも重要。これは,セキュリティのセオリー。Firefox/Mozillaを使っていなくても守る必要がある。
◎参考資料
◆Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
◆Mozilla Suite JavaScript Engine Information Disclosure Vulnerability
◆Mozilla Products Arbitrary Memory Exposure Test
◆Bugzilla Bug 288688 JS "lambda" replace exposes malloc heap space after end of JS string
(勝村 幸博=IT Pro)