Firefox 2.0.0.5にパスワードが盗まれる脆弱性
Full-Disclosureメーリングリストに今週末投稿された記事によると、Firefoxの最新版であるFirefox 2.0.0.5のパスワード管理に脆弱性があり、悪意のあるウェブサイトがユーザのパスワードを盗むことができてしまうという。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、このセキュリティ弱点によって被害を受ける可能性がある。
Mozillaチームは昨年11月に、今回の弱点と似ているがJavaScriptを必要としない弱点を修正していた。heise Securityウェブサイトには、その弱点に対する危険性のデモ/概念実証があり、自分が危険かどうかを判断するのに利用することができる。
11月の脆弱性はリバース・クロスサイト・スクリプティングと呼ばれ、MySpace.comで広く不正利用されたと言われている。
注意:本記事の発行後、MySpace.comはJavaScriptの投稿を許可していないという指摘を受けたので記事を修正した。読者の指摘は正しいが、ただし一部のブラウザでは結果的にJavaScriptを実行することになるような方法が存在したようだ。
また、heise SecurityとMozilla開発者との間で行なわれた議論についての記事において、Firefoxによるパスワード管理の機能を削除したとしても、悪意のあるページがユーザの入力した情報を盗むことができる可能性は残されるということが指摘されている。
なおAppleのSafariにも同様の脆弱性がある。現時点での対処策としては、FirefoxでJavaScriptを無効にすることや、JavaScriptを含んだページの投稿をユーザに許可しているサイトではFirefoxのパスワード管理機能の使用を避けることなどがある。
