ニュース
» 2008年06月20日 15時44分 UPDATE

「初バグ」の悪用はない――Mozillaが語るFirefox 3のセキュリティ

リリース直後に早速バグが報告されたFirefox 3だが、詳しい情報が伏せられているためユーザーのリスクは小さいとMozillaは語る。

[Brian Prince,eWEEK]
eWEEK

 MozillaのFirefox 3は6月17日、多数の新しいセキュリティ機能とともに登場し、リリースから最初の24時間で約830万ダウンロードに達した。だが、同ブラウザでは既に最初のバグが見つかっている。OS固有ではない脆弱性で、セキュリティベンダーTippingPoint Technologiesは「Critical(緊急)」レベルと評価している。

 問題のバグをMozillaに密かに通報したTippingPointも、Mozillaも、この脆弱性について多くのことを明らかにしていないが、TippingPointは、これはリモートコード実行につながる恐れがあり、悪用するにはユーザーに特定の操作をさせる必要があると報告している。このバグはFirefox 2にも影響し、両バージョンとも次のセキュリティアップデートで修正される予定だ。その時期を聞いたが、Mozillaは具体的な日付を出せなかった。

 Mozillaのセキュリティ責任者ウィンドウ・スナイダー氏は電子メールによる取材で、このバグが実際に悪用されているという証拠はなく、詳しい情報が伏せられているためユーザーのリスクは小さいと語った。これでFirefoxユーザーは少し安心できるだろうが、このバグの存在は、Firefoxのセキュリティに注目を集めることにもなっている。

 Firefoxはバージョン3で、アドオンをチェックして最新版が使われるようにする機能など、多数のセキュリティ関連の新機能を追加した。だが最も大きいのは、Googleと協力してWebサイトのブラックリストを導入したことだ。ユーザーが偶然不正なサイトにアクセスすることがないように、ブラックリストのアプローチを採用したとスナイダー氏は語った。

 「この場合、ホワイトリストは適さない。Webは巨大で、すべてのWebサイトのカタログを維持し、それに含まれないものを遮断しようとするのは、機能的に不可能だ」と同氏は言う。「それにホワイトリストは、マルウェア作者が広告ネットワークに入り込んだり、サイトの脆弱性を悪用したりなどして合法的なWebサイトを標的にする場合には、致命的な欠点がある」

 Firefox 3はGoogleのフィッシング・マルウェアデータベースを利用して、ユーザーがアクセスしようとしているサイトをロード前にチェックするという。ローカルデータベースはおよそ30分おきにアップデートされる。

 「チェックは非常に高速なため、サイトに接続する前に実行できる」とスナイダー氏は言う。「これによりロードを事前に防ぐため、単にロードされたページの上に警告をポップアップ表示するよりも安全で、ユーザーへの強力なメッセージとなる」

 Opera Softwareも、6月12日にリリースされたOpera 9.5Haute Secureと提携することで、同様の対策を取っている。だがOperaは、同社のアプローチは不正なリンクからもユーザーを保護し、FirefoxやInternet Explorerの一歩先を行っていると主張している。

 「ほかのブラウザも独自のマルウェア対策を導入しており、それはユーザーにとってもインターネットにとってもいいことだ」とスナイダー氏は言う。「内部テストの結果、Firefox 3のセキュリティ対策により、ユーザーがWeb上でこれまで以上に安全になるという自信を持っている」

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -