Firefoxに情報流出の脆弱性、危険度は低レベル

脆弱性を悪用するとディレクトリトラバーサル攻撃を仕掛けられる恐れがある。影響を受けるのは一部アドオンのユーザーのみ。

[ITmedia]

　Firefoxブラウザに情報流出につながる脆弱性が報告された。開発元のMozillaは1月22日、セキュリティブログでこの問題について解説。今のところ危険度は低いと説明している。

　Mozillaによると、この問題の影響を受けるのは、Download Statusbar、Greasemonkeyなどの一部アドオンをインストールしているユーザーのみ。これらアドオンがコンテンツをjarアーカイブに保存しないことが原因で、ディレクトリトラバーサル攻撃が可能になり、情報が流出する恐れがある。

　攻撃者はユーザーに攻撃用ページを閲覧させることにより、ディスク上の画像やスクリプト、スタイルシートをロードすることが可能になる。どんなアプリケーションがインストールされているかについての情報を入手することも可能で、その情報を使ってシステムのプロファイルを調べ、別の攻撃を仕掛けるのに使われる恐れもある。

　この問題を発見したセキュリティ研究者は、Thunderbirdのプリフェレンスファイル「all.js」を読み込むことができるコンセプト実証コードを作成している。

　Mozillaは現在、この問題についてさらに詳しく調査中だという。