本脆弱性の影響例

　フランスのFrSIRTやデンマークのSecuniaなどのセキュリティベンダーが7～8日（現地時間。以下、同）に明らかにしたところによると、「Firefox」に任意のコードが実行される重大な脆弱性が存在するとのこと。本脆弱性の深刻度は、FrSIRTでは4段階中最高の“Critical Risk”、Secuniaも5段階中最高の“Extremely critical”と判定している。この脆弱性はv1.0.3で確認されており、v1.0.3以前のバージョンも影響を受けると予想される。

　本脆弱性は、IFRAMEタグのSRC属性や、“拡張機能マネージャ”画面に表示するアイコンを指定する“iconURL”の処理に起因し、Javaスクリプトによる細工で任意のコードが実行される恐れがあるとのこと。たとえば、攻撃者が作成した悪意のあるWebページを開き任意の場所をクリックするだけで、任意のソフトがインストールされてしまう。

　本脆弱性の修正パッチは公開されておらず、FrSIRTは本脆弱性の回避策として、Javaスクリプトを無効にするか、Webサイトによるソフトのインストールを許可しないように設定することを推奨している。なお、「Firefox」や「Mozilla」などに関する情報サイト“mozillaZine”によると、本脆弱性への対策は2日ごろより既に始まっており、問題を修正したv1.0.4が近日中にリリースされるのではないかと予想している。

□FrSIRT Advisories - Mozilla Firefox "Extensions" Remote Code Execution Vulnerability / Exploit
http://www.frsirt.com/english/advisories/2005/0493
□Secunia - Advisories - Mozilla Firefox Two Vulnerabilities
http://secunia.com/advisories/15292/
□Mozilla Arbitrary Code Executation Security Flaw - MozillaZine Talkback
http://www.mozillazine.org/talkback.html?article=6582

（石川 敬峰）