Firefoxブラウザに情報流出につながる脆弱性が報告された。開発元のMozillaは1月22日、セキュリティブログでこの問題について解説。今のところ危険度は低いと説明している。
Mozillaによると、この問題の影響を受けるのは、Download Statusbar、Greasemonkeyなどの一部アドオンをインストールしているユーザーのみ。これらアドオンがコンテンツをjarアーカイブに保存しないことが原因で、ディレクトリトラバーサル攻撃が可能になり、情報が流出する恐れがある。
攻撃者はユーザーに攻撃用ページを閲覧させることにより、ディスク上の画像やスクリプト、スタイルシートをロードすることが可能になる。どんなアプリケーションがインストールされているかについての情報を入手することも可能で、その情報を使ってシステムのプロファイルを調べ、別の攻撃を仕掛けるのに使われる恐れもある。
この問題を発見したセキュリティ研究者は、Thunderbirdのプリフェレンスファイル「all.js」を読み込むことができるコンセプト実証コードを作成している。
Mozillaは現在、この問題についてさらに詳しく調査中だという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR