FirefoxとMozillaの旧バージョンを狙う実証コード--修正済みの脆弱性を悪用可能に

　ウェブブラウザの「Firefox」や「Mozilla」は、最近更新していないのであれば、今すぐ更新した方が良さそうだ。

　あるコードが先週末、ウェブ上で公開された。このコードが公開されたことで、両ブラウザの旧バージョンで既に知られているある脆弱性は、放置しておくと、壊滅的な攻撃に利用される可能性がでてきた。Mozilla Foundationによると、7月にリリースされたFirefoxの1.0.5バージョンと、Mozillaソフトウェアパッケージの1.7.9バージョンでは、この脆弱性は修正済みだという。

　コードを公開したのはAviv Raffというイスラエルの開発者。自らのブログに現地時間11日、「ユーザーがFirefox 1.0.4バージョンを更新する時間は十分にあったはずだ」と記している。このコード自体は大した被害をもたらさないが、これを脆弱なシステムを乗っ取る悪質なコードに書き換えるのは簡単だとRaffと書いている。

　Firefox 1.0.5バージョンのリリース日である7月12日付けでMozilla Foundationが公表した警告によると、問題の脆弱性は両ブラウザのJavaScriptの扱い方に存在するという。攻撃者は、この脆弱性をパイプとして使う悪質なウェブサイトを作ることで、ユーザーに知られずに、脆弱なPC上で悪質なコードを実行できるようになる。

　Mozilla Foundationは、7月以降にも、FirefoxとMozillaの更新ファイルをいくつかリリースしている。Firefoxの最新版はバージョン1.5で、11月末にリリースされた。Firefox 1.5では、ブラウザをハングアップしたように見せるセキュリティ上の脆弱性が指摘されている。ただし、Mozilla Foundationでは、この脆弱性の危険度は低いと説明している。

　ブラウザ関連のニュースとしては、Microsoftが米国時間13日、「Internet Explorer（IE）」の4つの脆弱性を修正するパッチをリリースした。同社では、このうち2つを「重大」と判断し、1つはIEユーザーの攻撃に既に悪用されていると話す。

　セキュリティーベンダーのSecuniaは13日、ウェブブラウザ「Opera」の8.01バージョンにセキュリティ上の脆弱性があり、それ以前のバージョンにも同様の脆弱性が存在する可能性があると警告した。新しいウィンドウでのマウスクリックを扱う方法と、ダウンロード用ダイアログボックスを表示する方法に脆弱性があるとSecuniaは言う。

　このOperaの脆弱性が悪用された場合、だまされたユーザーが悪質なプログラムをダウンロードしてしまう可能性があるとSecuniaでは述べている。Operaユーザーは、7月末に公開された8.0.2以降のバージョンに更新したほうが良い。