デンマークSecuniaなどは現地時間5月8日,Webブラウザ「Firefox」に見つかった危険なセキュリティ・ホールを公表した。細工が施されたリンクをクリックするだけで,任意のプログラムを実行させられる可能性などがある。最新版のバージョン1.0.3も影響を受ける。対策は,オプション設定の「Webサイトによるソフトウェアのインストールを許可する」を無効にすることなど。

 今回見つかったセキュリティ・ホールは2種類。(1)任意のHTMLやスクリプトを,任意のサイトのコンテクストで実行させられるセキュリティ・ホール(クロスサイト・スクリプティングの脆弱性),(2)任意のJavaScriptを高い権限で実行させられるセキュリティ・ホール――である。これらを組み合わせれば,細工を施したリンクをクリックしたユーザーに,任意のプログラムを実行させることなどが可能となる。

 これらのセキュリティ・ホールを悪用するコードは,5月7日に公開されている。そのコードが仕込まれたWebページのどこかをユーザーがクリックすると,悪質なファイルがパソコン上に作成されて実行させられるという。

 ただし,現時点(5月9日)では,このコードは機能しない。というのも,上記(2)のセキュリティ・ホールを突くには,Firefoxのソフトウエア・インストール機能を悪用する必要があり,デフォルトのダウンロード・サイト(ソフトウエア・インストール機能でアクセスするサイト)である「update.mozilla.org」と「addons.mozilla.org」側で,コードが機能しないように対策を施したためだ。

 Mozilla に関する情報を提供している「MozillaZine」によれば,今回のセキュリティ・ホールは非公開のまま発見者から通知され,Mozillaのポリシー(Mozilla security bugs policy)に従って関係者(Mozillaのセキュリティ・チーム)以外には非公開のまま作業が進められていたが,セキュリティ・ホールを突くコード(Exploit)やセキュリティ・ホール情報を誰かがリークしたために公になったという。

 現時点(5月9日)では,今回のセキュリティ・ホールを修正したバージョンは未公開。設定変更などで対応する必要がある。SecuniaではJavaScriptを無効にすることを対策として挙げている。JavaScriptは,「ツール」メニューの「オプション」から「Web機能」を選択すると表示される「JavaScriptを有効にする」のチェックを外せば無効になる(デフォルトは有効)。

 MozillaZineなどの情報では,JavaScriptを無効にしなくても,ソフトウエア・インストール機能を無効にするだけで回避できるとしている。具体的には,「ツール」メニューの「オプション」で表示される「Web機能」の「Webサイトによるソフトウェアのインストールを許可する」のチェックを外せば,ソフトウエア・インストール機能は無効になる(デフォルトではチェックされている)。

 「信頼できないサイトへはアクセスしない」「信頼できないサイトのページへアクセスしてしまった場合には,そのページのオブジェクト(リンクなど)には触らない」「信頼できないリンクはクリックしない」――といったセオリーを守ることも,回避策として重要である。

◎参考資料
Mozilla Arbitrary Code Executation Security Flaw(MozillaZine)
Bugzilla Bug 293302(Bugzilla)
Mozilla Firefox Two Vulnerabilities(Secunia)
Mozilla Firefox "Extensions" Remote Code Execution Vulnerability(FrSIRT)

(勝村 幸博=IT Pro)