ITmedia NEWS > セキュリティ >
ニュース
» 2008年06月20日 15時44分 UPDATE

「初バグ」の悪用はない――Mozillaが語るFirefox 3のセキュリティ

リリース直後に早速バグが報告されたFirefox 3だが、詳しい情報が伏せられているためユーザーのリスクは小さいとMozillaは語る。

[Brian Prince,eWEEK]
eWEEK

 MozillaのFirefox 3は6月17日、多数の新しいセキュリティ機能とともに登場し、リリースから最初の24時間で約830万ダウンロードに達した。だが、同ブラウザでは既に最初のバグが見つかっている。OS固有ではない脆弱性で、セキュリティベンダーTippingPoint Technologiesは「Critical(緊急)」レベルと評価している。

 問題のバグをMozillaに密かに通報したTippingPointも、Mozillaも、この脆弱性について多くのことを明らかにしていないが、TippingPointは、これはリモートコード実行につながる恐れがあり、悪用するにはユーザーに特定の操作をさせる必要があると報告している。このバグはFirefox 2にも影響し、両バージョンとも次のセキュリティアップデートで修正される予定だ。その時期を聞いたが、Mozillaは具体的な日付を出せなかった。

 Mozillaのセキュリティ責任者ウィンドウ・スナイダー氏は電子メールによる取材で、このバグが実際に悪用されているという証拠はなく、詳しい情報が伏せられているためユーザーのリスクは小さいと語った。これでFirefoxユーザーは少し安心できるだろうが、このバグの存在は、Firefoxのセキュリティに注目を集めることにもなっている。

 Firefoxはバージョン3で、アドオンをチェックして最新版が使われるようにする機能など、多数のセキュリティ関連の新機能を追加した。だが最も大きいのは、Googleと協力してWebサイトのブラックリストを導入したことだ。ユーザーが偶然不正なサイトにアクセスすることがないように、ブラックリストのアプローチを採用したとスナイダー氏は語った。

 「この場合、ホワイトリストは適さない。Webは巨大で、すべてのWebサイトのカタログを維持し、それに含まれないものを遮断しようとするのは、機能的に不可能だ」と同氏は言う。「それにホワイトリストは、マルウェア作者が広告ネットワークに入り込んだり、サイトの脆弱性を悪用したりなどして合法的なWebサイトを標的にする場合には、致命的な欠点がある」

 Firefox 3はGoogleのフィッシング・マルウェアデータベースを利用して、ユーザーがアクセスしようとしているサイトをロード前にチェックするという。ローカルデータベースはおよそ30分おきにアップデートされる。

 「チェックは非常に高速なため、サイトに接続する前に実行できる」とスナイダー氏は言う。「これによりロードを事前に防ぐため、単にロードされたページの上に警告をポップアップ表示するよりも安全で、ユーザーへの強力なメッセージとなる」

 Opera Softwareも、6月12日にリリースされたOpera 9.5Haute Secureと提携することで、同様の対策を取っている。だがOperaは、同社のアプローチは不正なリンクからもユーザーを保護し、FirefoxやInternet Explorerの一歩先を行っていると主張している。

 「ほかのブラウザも独自のマルウェア対策を導入しており、それはユーザーにとってもインターネットにとってもいいことだ」とスナイダー氏は言う。「内部テストの結果、Firefox 3のセキュリティ対策により、ユーザーがWeb上でこれまで以上に安全になるという自信を持っている」

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.