Mozillaの脆弱性報告プログラムに第一回受賞者

Firefox 1.0やMozilla、Thunderbirdの新バージョンで修正された脆弱性は、Mozilla Foundationが開始した脆弱性報告プログラムの成果だ。

[高橋睦美，ITmedia]

　9月14日にリリースされたFirefox 1.0は爆発的な人気を集めているようだ。このリリースには、Mozilla Foundationが8月に開始した脆弱性報告プログラムの成果が反映されている。

　Mozilla FoundationはFirefox 1.0 PRのリリースと前後して、メールソフト／ニュースグループリーダーの「Thunderbird 0.8」と、「Mozilla 1.7.3」も公開した。これらの新バージョンでは10種類に上る脆弱性が修正されている。

　この中には、BMP形式の画像処理に起因する整数オーバーフローの問題やVCard表示ルーチンのバッファオーバーフロー、あるいは非ASCII形式のホスト名処理に関するバッファオーバーフローなど、リモートから任意のコードを実行されるおそれのある深刻な脆弱性が含まれている。いずれも早期のアップデートが望ましい。

　これら問題点の指摘と対応は、Mozilla Foundationが8月に開始した脆弱性報告推奨プログラム「Bug Bounty Program」によるものだ。開始からわずか1カ月あまりで、プログラムは一定の成果を収めたことになる。

　Bug Bounty Programは、Mozillaなどに存在する脆弱性の発見／対応の迅速化を目的としたものだ。Mozilla Foundationで「深刻」だと判断した脆弱性を報告してくれたユーザーには、1件あたり現金500ドルが支払われる。

　Mozilla Foundationのリリースによると、第一回の賞金は、Marcel Boesch、Gael Delalleau、Georgi Guninski、Mats Palmgrenの各氏に支払われた。脆弱性ハンターとして知られるGuninski氏はVCard関連の脆弱性を、またDelalleau氏はBMP画像処理の脆弱性を指摘している。

　プレスリリースの中でMozilla Foundationは、「Mozillaのオープンソースモデルの透明性によって、Firefoxなどのアプリケーションがいっそうセキュアになることが証明された」と述べている。続けてさらに、「オープンソースコミュニティには、悪意あるハッカーによって悪用される前に潜在的なセキュリティ脆弱性を公表し、速やかに修正する能力がある」とも記している。

　なおPalmgren氏は、今後のプログラムの資金に充てるべく、賞金をそのまま寄付したという。Mozilla Foundationは引き続き、この報告プログラムを継続していく方針だ。