Firefox関連。

結局「すべてのものには脆弱性がある!」ってことか。
「お前にはまだ早い!」じゃなくて、早急に対処してね。
「Firefoxにも問題あった」、IE関与の脆弱性でMozillaが認める

「これはIEの問題だと思っていたが、Firefoxにも問題があることが分かった」とMozillaがブログで打ち明けた。

 FirefoxInternet ExplorerIE)の相互作用で脆弱性が発生する問題について、Mozilla Foundationはセキュリティブログで「これはIE側の問題だと思っていたが、Firefoxにも問題があることが分かった」と打ち明けた。
 この脆弱性をめぐっては、FirefoxIEのどちらに問題があるのかが論議となっていた。MozillaIEに問題があるとの見方を示し、IEがエントリーポイントとして利用され、IEからFirefoxに悪質なデータが引き渡されると指摘していた。
 しかしその後の調べで、Firefoxもエントリーポイントとして利用される可能性があることが判明。Firefoxで細工を施したURLを閲覧すると、別のアプリケーションに悪質なデータを引き渡してしまう可能性があることが分かったという。
 Mozillaは問題に対処したFirefox 2.0.0.5をリリース済みだが、この時点では、Firefoxがエントリーポイントとして利用されることは想定していなかった。このため、現在改めて調査を進めているという。

Firefox 2.0.0.5にパスワードが盗まれる脆弱性

公開されたばかりのFirefox 2.0.0.5のパスワード管理に脆弱性があると報告された。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、被害を受ける可能性がある。

 Full-Disclosureメーリングリストに今週末投稿された記事によると、Firefoxの最新版であるFirefox 2.0.0.5のパスワード管理に脆弱性があり、悪意のあるWebサイトがユーザーのパスワードを盗むことができてしまうという。JavaScriptを有効にしていて、Firefoxにパスワードを覚えさせている場合、このセキュリティ弱点によって被害を受ける可能性がある。
 Mozillaチームは2006年11月に、今回の弱点と似ているがJavaScriptを必要としない弱点を修正していた。heise Securityには、その弱点に対する危険性のデモ/概念実証が用意されており、自分が危険かどうかを判断するのに利用することができる。
 11月の脆弱性はリバース・クロスサイト・スクリプティングと呼ばれ、MySpace.comで広く不正利用されたといわれている。
注意:本記事の発行後、MySpace.comはJavaScriptの投稿を許可していないという指摘を受けたので記事を修正した。読者の指摘は正しいが、ただし一部のブラウザでは結果的にJavaScriptを実行することになるような方法が存在したようだ。
 また、heise SecurityとMozilla開発者との間で行なわれた議論についての記事において、Firefoxによるパスワード管理の機能を削除したとしても、悪意のあるページがユーザーの入力した情報を盗むことができる可能性は残されるということが指摘されている。
 なおAppleSafariにも同様の脆弱性がある。現時点での対処策としては、FirefoxJavaScriptを無効にすることや、 JavaScriptを含んだページの投稿をユーザーに許可しているサイトではFirefoxのパスワード管理機能の使用を避けることなどがある。