ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Firefoxのゼロデイコードは「冗談」だった?

» 2006年10月04日 10時24分 公開
[Ryan Naraine,eWEEK]
eWEEK

 MozillaのFirefoxブラウザに複数のコード実行脆弱性があるというハッカーの主張は、度を越した悪ふざけかもしれない。

 2人のセキュリティ研究者――ミシャ・スピーゲルモック氏とアンドリュー・ビールソイ氏――がFirefoxのJavaScript実装に深刻な脆弱性があり、PC乗っ取りを許す恐れがあると警告したToorConのプレゼンテーションの後で、Mozillaのエンジニアは、この問題のリスクはサービス拒否(DoS)攻撃に限定されていると指摘した。

 Six Apartの開発者であるスピーゲルモック氏は今は、ToorConでの発表は「おもしろくする」ためのもので、同カンファレンスで披露したコードではコード実行攻撃はできないと話している。

 同氏のこの奇妙な変化は、Mozillaのセキュリティ対策チームがこの問題の修正方法を見出すために、ToorConでの発表の情報を急いで集めていた最中のことだ。

 同カンファレンスに参加していたMozillaのセキュリティ責任者ウィンドウ・スナイダー氏はこの報告について、本当ではないという確認が取れるまでは本物として扱うと述べたが、10月2日の時点で、MozillaはブラウザをクラッシュさせるDoSの問題しか再現できなかった。

 「場合によっては、この問題はアウトオブメモリエラーによるクラッシュを引き起こす。今回入手した情報に基づいて調べたところ、攻撃者がコードを実行できるかどうかは確認できなかった。まだ調査を続けている」(同氏)

 スナイダー氏はこの数時間後、スピーゲルモック氏と話をした後で、さらなるコードとリスクの範囲を説明するメモの提供を受けたとしている。

 Mozillaデベロッパーブログに掲載されたこのメモの中で、スピーゲルモック氏は、ToorConでのプレゼンテーションは少し大げさだったと認めている。

 「発表の中で、リモートコード実行につながるスタックオーバーフローを引き起こす恐れのある既知のFirefoxの脆弱性があると言ったが、われわれが披露したコードは実際はそのような攻撃を起こさない。わたし自身が使ってもコード実行は起きなかったし、知る限りではほかの誰かが攻撃を起こしたということもない」(同氏)

 「このコードでは、クラッシュとシステムリソースを食い尽くすことしかできなかった。これを使って誰かのコンピュータを乗っ取ったり、任意のコードを実行したことはない」と同氏は付け加えた。

 また30件の未発見のFirefoxの脆弱性があるという報告について、スピーゲルモック氏は、すべて共同発表者のビールソイ氏によるものだと主張した。「わたしはFirefoxの未発見の脆弱性は知らない。一緒に発表をした人物がそう主張したのだ。正直なところ、彼が本当にそれらの脆弱性を把握しているのか分からない。関係者の皆さんには申し訳ないと思う。これですべてをできる限り明らかにできたのなら良いのだが」

 ビールソイ氏にコメントを求めたが、連絡が付かなかった。

 「たとえミシャ(スピーゲルモック氏)がコード実行攻撃ができなくても、この問題を深刻に受け止めている。調査は続ける」とMozillaのスナイダー氏は述べている。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.