Firefox 2.0.0.5にパスワードが盗まれる脆弱性

公開されたばかりのFirefox 2.0.0.5のパスワード管理に脆弱性があると報告された。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、被害を受ける可能性がある。

[Joe-Barr，Open Tech Press]

　Full-Disclosureメーリングリストに今週末投稿された記事によると、Firefoxの最新版であるFirefox 2.0.0.5のパスワード管理に脆弱性があり、悪意のあるWebサイトがユーザーのパスワードを盗むことができてしまうという。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、このセキュリティ弱点によって被害を受ける可能性がある。

　Mozillaチームは2006年11月に、今回の弱点と似ているがJavaScriptを必要としない弱点を修正していた。heise Securityには、その弱点に対する危険性のデモ／概念実証が用意されており、自分が危険かどうかを判断するのに利用することができる。

　11月の脆弱性はリバース・クロスサイト・スクリプティングと呼ばれ、MySpace.comで広く不正利用されたといわれている。

注意：本記事の発行後、MySpace.comはJavaScriptの投稿を許可していないという指摘を受けたので記事を修正した。読者の指摘は正しいが、ただし一部のブラウザでは結果的にJavaScriptを実行することになるような方法が存在したようだ。

　また、heise SecurityとMozilla開発者との間で行なわれた議論についての記事において、Firefoxによるパスワード管理の機能を削除したとしても、悪意のあるページがユーザーの入力した情報を盗むことができる可能性は残されるということが指摘されている。

　なおAppleのSafariにも同様の脆弱性がある。現時点での対処策としては、FirefoxでJavaScriptを無効にすることや、 JavaScriptを含んだページの投稿をユーザーに許可しているサイトではFirefoxのパスワード管理機能の使用を避けることなどがある。

原文へのリンク