Mozilla、“Firefox アカウント”のセキュリティ監査を実施 ～15の問題を悪用前に対策

公式ブログ“Mozilla Security Blog”

　Mozillaは18日（米国時間）、公式ブログ“Mozilla Security Blog”で、昨年秋に実施された“Firefox アカウント”のセキュリティ監査の結果を発表した。

　オープンソースプロジェクトは誰でも自由にソースコードのレビューが可能だが、かならずしも徹底したレビューが行われているわけではない。Mozillaはバグ報奨金プログラムを実施し、不具合のあぶり出しに注力しているが、それでも思わぬセキュリティ問題が放置されていることも少なくない。そこでMozillaはドイツのセキュリティ会社Cure53に依頼し、セキュリティ監査を実施していた。

　今回の監査対象となった“Firefox アカウント（FxA）”は、“addons.mozilla.org（AMO）”や“Firefox Sync”などの認証に利用されており、Mozillaのサービスのなかでもっとも機密性の高いデータを扱うサービスと言えるだろう。ここではユーザーのデータを危険にさらす15の問題が発見され、悪用される前に対策が施された。

　そのなかでも4つの深刻度の高い問題に関しては、解説が掲載されている。興味のあるユーザーは下記にあるブログ記事を参照してほしい。