Firefoxのバグを突く新たなコードが登場

旧版Firefoxのバグを悪用する実証コードをアビブ・ラフと名乗る人物が公開した。この人物は最新版へのアップデートを促している。（IDG）

[IDG Japan]

　最新版Firefoxにまだアップグレードしていないユーザーにとって、そうするべき理由が1つ増えたかもしれない――アビブ・ラフと名乗るハッカーのおかげで。

　ラフ氏は12月11日、バージョン1.0.4以前のFirefoxを使っているユーザーのコンピュータを乗っ取るのに利用できるサンプルコードを公開した。このコードは、FirefoxがJavascriptを処理する方法に関連した既知のバグを利用する。

　「Firefox 1.0.4からアップグレードするための時間は十分に与えられたと思う。そこでここに、この脆弱性のPoC（コンセプト実証コード）を用意した」と同氏は自身のブログに書いている。

　このバグは7月にリリースされたFirefox 1.0.5で修正され、Mozilla Suite 1.7.9でも修正されているとMozilla Corporationのエンジニアリング担当副社長マイク・シュローファー氏は語る。「最新版にアップデートし続けている限り、ユーザーはおおむね安全だ」

　今回の実証コードは幾つかの点で、広く報道されたInternet Explorer（IE）の攻撃コードに似ているとメーリングリストNTBugtraqの編集者で、セキュリティベンダーCybertrustの研究者ラス・クーパー氏は指摘する。「これはユーザーが不正なWebサイトにアクセスしたときに、攻撃者の好きなコードをインストールして実行できる」と同氏はインスタントメッセージング（IM）による取材に応えて語った。

　ブラウザを頻繁にアップデートする習慣のないユーザーは、そうしたやり方を変えるべきだとクーパー氏は言う。ブラウザは「歴史的に見て、壊れている」ためだという。「定期的に脆弱性が出てくるという意味だ。パッチがリリースされたら、何のためのパッチかにかかわらず、30日以内にアップデートするべきだ」

　11月に公開されたIEの実証コードは、未パッチのJavascriptの問題を利用するものだ。

　多くのセキュリティ専門家は、Microsoftが12月13日（米国時間）にJavascriptのバグにパッチを当てると予測しているが、同社はそうするとは認めていない。