アニメカーソルの脆弱性はFirefoxの方が深刻？

[Lisa Vaas，eWEEK]

　Microsoftが4月3日に緊急公開したアニメーションカーソルの脆弱性修正パッチは、IEを保護モードで実行しているユーザーよりも、Firefoxユーザーの方が差し迫った必要に迫られている。Firefoxに低権限モードがないことが原因だ。

　Determinaの研究者でアニメーションカーソルの脆弱性を最初に発見し、12月にMicrosoftに通報したアレクサンドラ・ソティロフ氏は、VistaデフォルトモードのInternet Explorer 7とFirefox 2.0でアニメーションカーソルの脆弱性を悪用する模様をとらえたビデオを掲載した。

　このビデオでソティロフ氏は、保護モードに切り替えるとIEを実行しているVistaは保護されると指摘。脆弱性を突いて攻撃者がシステム上のファイルにアクセスすることはできるが、これらファイルが上書きされるのは保護モードで防止できるという。

　Firefoxも.aniファイルの処理に、脆弱性のあるWindowsの同じコンポーネントを使っていることが判明、「つまりIEと同様の方法で悪用される可能性があることになる」とソティロフ氏はビデオで述べている。

　同氏のデモでは、Firefoxを実行しながら悪質なURLを開き、コマンドシェル接続の確立に成功。このシェルによって全システムファイルにアクセスが可能になり、現在ログオンしているユーザーの権限も取得できる。ただ、IEの保護モードのような権限の低いモードがFirefoxには存在しないため、攻撃者はシステムファイルを上書きすることもできてしまう。

　Firefoxは最近、相次いでセキュリティ問題に見舞われている。過去数カ月で、悪質なWebサイトを正規のサイトに見せかけることができてしまうFirefoxの脆弱性が発見された。Mozillaは2月にアップデートバージョンをリリースし、この脆弱性に対処している。

　FirefoxのセキュリティがIEよりも手薄というわけではない。MS07-017では両方のブラウザでアニメーションカーソルの脆弱性が修正される。ただ、Firefoxには保護モードのような形で権限を低く設定する保護措置がないということだ。もっとも、ある読者が指摘した通り、Vistaの保護モードが問題になるのはユーザーがVistaを持っている場合のみであることを考えると、結局誰であろうとカモにされてしまうことになる。

　「大多数のユーザーにとって、唯一の答えは直ちにMSパッチをテストし導入することだ」とこの読者は言う。

　FirefoxをサポートしているMozilla Foundationは談話の中で、ANIの脆弱性はFirefoxとIEの両方で悪用することが可能だと述べた。Mozillaでは全Windowsユーザーに対し、Microsoftのアップデートを直ちに適用するよう促している。また、今後のセキュリティリリースでFirefox内部の回避策を講じることも研究中だという。