セキュリティ組織の米SANS Instituteなどによると,Firefox 1.0.2/Mozilla 1.7.6以前に見つかったセキュリティ・ホールを突くコードが出回っているという。米国時間4月17日付けのSANSの日誌「Handler's Diary」で明らかにした。Firefoxについては,セキュリティ・ホールを修正した最新バージョン1.0.3の日本語版が公開されているので,できるだけ早急にバージョンアップしたい。

 Firefox 1.0.3およびMozilla 1.7.7で修正されたセキュリティ・ホールは9種類(関連記事)。そのうち3種類のセキュリティ・ホールは,最も危険な「緊急(Critical)」レベルである。現在公表されているコード(ファイル)は,緊急レベルのセキュリティ・ホールを突く。具体的には,「JavaScript“favicons”によるコード実行(MFSA 2005-37)」および「サイドバー・パネルからの任意のコード実行(MFSA 2005-39)」を突くコードがそれぞれ公開されている。

 「JavaScript“favicons”によるコード実行(MFSA 2005-37)」を突くコードを仕込んだWebページにアクセスしてリンクをクリックすると,任意のファイルをパソコン上に作成されてしまう。「サイドバー・パネルからの任意のコード実行(MFSA 2005-39)」を突くコードが仕込まれたページにアクセスすると,Firefoxの「ホームページ」の設定を勝手に変更されてしまう。

 いずれについても,公表されているコード自体の危険性は小さい。だが,悪質なコードに改変される可能性は高い。悪質なコードが出回る前に,できるだけ早急にバージョンアップしたい。もちろん,「信頼できないページにアクセスしない/信頼できないリンクをクリックしない」ことを心がけることも重要だ。

 なお,SANSの情報によると,4月13日に公表されたWindowsのセキュリティ・ホール「TCP/IP の脆弱性により,リモートでコードが実行され,サービス拒否が起こる (893066) (MS05-019) 」を突くコードも公開されているという(関連記事)。こちらについても注意したい。なお,4月13日にマイクロソフトから公表されたセキュリティ・ホールについては,「MS05-019」以外にも,セキュリティ・ホールを突くコードが公開されている(関連記事)。

◎参考資料
Handler's Diary April 17th 2005 Recent Firefox patches

(勝村 幸博=IT Pro)