Mozilla、「Firefox 1.5」の脆弱性が悪用される可能性は低いとの認識

Firefox 1.5の脆弱性に対するコンセプト実証コードを公開し、同コードが実際の攻撃に悪用される恐れがあると警告したが、Mozillaの関係者は、単なる「トラブル」程度のバグだと主張している。

» 2005年12月12日 08時35分 公開
[Ryan Naraine,eWEEK]
eWEEK

 民間のセキュリティ企業が「Firefox 1.5」の脆弱性に対するコンセプト実証コードを公開し、同コードが実際の攻撃に悪用される恐れがあると警告した。

 しかし、Mozilla Foundationの関係者は今回の脅威を重視しておらず、深刻なセキュリティ脆弱性というよりは単なる「トラブル」程度のバグだと主張している。

 ウェブサイト「PacketStormSecurity.org」で公開された同実証コードは、Mozillaの最新ブラウザであるFirefox 1.5において、バッファオーバーフローを引き起こすものだ。

 同コードは、「Service Pack 2」(SP2)を適用した「Windows XP」に影響を及ぼすことが確認されており、同オープンソースブラウザが膨大な履歴情報を処理する方法に存在する欠陥が攻撃に悪用されるという。

 攻撃者は、ユーザーが過剰に長いタイトルを持つ悪質なウェブサイトを閲覧するよう誘導し、同ブラウザの「history.dat」ファイルを大量の履歴情報で埋めてしまう。

 発表によれば、「このコンセプト実証コードでは、攻撃後にブラウザが再起動できなくなるだけだが、何らかの変更が加えられたコードが実行される恐れもある」という。

サービス拒否攻撃以上の可能性は立証されず

 Mozilla Foundationのエンジニアリング担当バイスプレジデント、マイク・シュロファー氏は、初動調査ではコード実行攻撃の経路を再現できなかったとしている。

 Ziff Davis Internet Newsの取材に応じたシュロファー氏は、「(今回のコード実行に関する)主張は実証されていない。サービス拒否問題以上のものは、内部からも外部からもまだ報告を受けていない」と話した。

 「サービス拒否問題の存在は確認できた。しかし、リスクを分析するためにソースコードを検証したが、それほど深刻な問題ではないとの認識に達している」(シュロファー氏)

 同氏はまた、「現時点では、多少厄介なサービス拒否攻撃が発生する恐れがあるだけで、それ以上の可能性は立証されなかった」と話している。

 Mozillaのエンジニアは、Firefoxに搭載されている障害報告ツールのデータを調査したが、同ブラウザが攻撃後にCPUおよびメモリリソースを大量に消費するという問題のほかには何も確認できていないという。

 セキュリティ関連の警告情報を収集するSecuniaもシュロファー氏の意見を支持し、同脆弱性の危険性を「軽度」であると認定した。

 SecuniaはFirefox 1.5ユーザーに対し、history.datファイルを削除するか、ブラウザ終了時に履歴情報を消去するよう設定することを推奨している。この設定を行うには、ブラウザの「ツール(Tools)」メニューから「オプション(Option)」を選択し、「プライバシー(Privacy)」項目を調整すればよい。

「IEよりはるかに安全」とMozilla

 MozillaはFirefoxをMicrosoftの「Internet Explorer」(IE)に代わる安全なブラウザとしてアピールしており、ゼロデイアタックが起こればそうした前提が崩れる恐れが出てくる。

 ウェブ評価ツールベンダーNet Applicationsが先ごろ実施した調査では、Firefoxは今もIEの市場シェアを奪いつつあり、2005年11月には利用率が8.84%に達したが、こうした傾向の主な助長要因は、IEのセキュリティホールが修復されず危険なまま放置されていることだとしている。

 シュロファー氏は、今回の脆弱性に対する警告がMozillaに打撃を与えるとの見方に否定的だ。

 「わたしたちには、Firefoxに最高の機能および安全性を持たせるため、改良を続ける使命がある。昨年の実績を見れば、当社が未修復の問題を野放しにしなかったことは明白だ」(シュロファー氏)

 シュロファー氏はさらに、「Mozillaはブラウザの機能向上に取り組み、(セキュリティ)問題が発生した場合はその解決に力を尽くしている。賢明なユーザーは、Firefoxが他製品よりはるかに安全であることを理解していると信じている」とした。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ