Mozilla(モジラ)は、ハッカーがFirefoxユーザーを標的として脆弱性を悪用していることをセキュリティ研究者が発見したことを受け、ブラウザを最新バージョンにアップデートするよう警告した。
この脆弱性は、中国のセキュリティ企業のQihoo 360がFirefoxの実行時コンパイラ内で発見した。このコンパイラはJavaScriptのパフォーマンスを向上させ、ウェブサイトの読み込みを高速化する。しかし研究者らはバグによって、悪意のあるJavaScriptがホストコンピュータのブラウザ外で実行される可能性があることを発見した。具体的には、攻撃者は悪意のあるJavaScriptコードが実行されるウェブサイトに利用者をアクセスさせることで、そのコンピュータに侵入できる。
しかしQihooは、このバグがどのように悪用されたのか、攻撃者は誰なのか、あるいは誰が標的にされたのかを正確には明かさなかった。ブラウザの脆弱性は、ユーザーが気付かないうちに脆弱なコンピュータに感染し、マルウェアやランサムウェアを拡散するために利用される可能性があるため、セキュリティ分野で注目を集めている。
さらにブラウザは、ネットワーク調査技術(NITs)として知られる、国家や政府による監視ツールの標的にもなっている。これらの脆弱性を悪用するツールは、連邦捜査官が犯罪者を監視して捕まえるために使用されてきた。しかしこれらのツールは、ソフトウェアメーカーにバグを開示しないかぎり、悪意のある人物が同じ脆弱性を悪用する可能性があるため、セキュリティコミュニティから批判を受けている。Mozillaは、脆弱性が発見されるわずか2日前に公開された「Firefox 72」に関する、セキュリティ警告を公開した。
米国土安全保障省(DHS)のサイバーアドバイザリー部門であるCybersecurity and Infrastructure Security Agency(サイバーセキュリティおよびインフラに関するセキュリティ機関)もセキュリティ警告を発し、この脆弱性を修正する「Firefox 72.0 .1」へのアップデートをユーザーに勧告した。ただしこのバグについてはほとんど情報が提供されておらず、「影響を受けるシステムを制御する」ために使われたという説明だけだった。
なおFirefoxユーザーは、設定からブラウザをアップデートできる。
[原文へ]
(翻訳:塚本直樹 Twitter)
