Mozillaは、当初の予定より約1週間早くFirefox 3.6.2をリリースしました。このアップデートでは、いくつかの安定性の問題と複数のセキュリティ脆弱性が修正されています。特に注目すべきは、バグ552216に記載されている重大なセキュリティ欠陥で、攻撃者が標的のシステム上で悪意のあるコードを実行する可能性があります。
FirefoxはMicrosoft Internet Explorerに次ぐ第2位のウェブブラウザであり、世界中の企業でInternet Explorerの事実上の代替ブラウザとして広く利用されています。Internet ExplorerとFirefoxを合わせると市場シェアは85%を超え、残りのブラウザ間でシェアを分け合えるのはわずか15%未満です。
Internet Explorerのゼロデイ脆弱性がGoogleをはじめとする中国企業への攻撃に利用されていたことが判明した後、Firefoxのダウンロード数は(少なくともドイツでは)劇的に増加しました。ドイツ、そしてそれに次いでフランスは、ゼロデイ攻撃の影響を受けないよう、企業やユーザーに対しInternet Explorerの使用を中止するよう推奨しました。
今、Firefox も同じ状況の逆の立場に立たされています。ドイツは、最近発見されたセキュリティ上の欠陥への対策として、企業とユーザーに対し、Firefox の使用を中止し、別のウェブブラウザに切り替えることを公式に推奨しました。
ただし、Firefoxのセキュリティ問題の影響範囲は限定的です。影響を受けるのはFirefox 3.6のみで、この脆弱性はWindows XPまたはWindows Vistaで動作するFirefoxでのみ有効です。IT管理者は、Firefoxが稼働している数百万台のLinux、Mac OS X、Windows 7システムについて心配する必要はありません。
セキュリティ問題を可能な限り迅速に解決し、ドイツ人ユーザーによるFirefoxブラウザからの大量離脱を防ぐことが、計画より早くFirefox 3.6.2をリリースした主な理由であると考えられます。また、MozillaはCanSecWestセキュリティカンファレンスに向けて、Webブラウザを可能な限り最新のパッチ適用済みバージョンにアップデートしたかったとも考えられます。
Appleは、Safariウェブブラウザのアップデートもリリースしました。この脆弱性を突いた攻撃により、あるセキュリティ研究者は、パッチを完全に適用したMacBookにわずか数秒で侵入し、制御権を握ってPwn2Ownコンテストの賞金5,000ドルを獲得しました。また、別のセキュリティ研究者もSafariを悪用して5,000ドルの賞金を獲得しました。
ウェブブラウザベンダーは、最も早くハッキングされたブラウザプラットフォームや、攻撃者にコンピュータの制御を許したウェブブラウザという悪評を避けたいため、可能な限り多くの問題に対処しようとするのは当然のことです。しかし、Mozilla、Apple、その他のベンダーにとって残念なことに、パッチを適用できるのは自社が認識している欠陥のみです。Pwn2Ownの参加者は、新たに発見された脆弱性やエクスプロイトをイベント当日まで厳重に秘密にし、それらを利用して賞金と優勝による自慢の権利を獲得しようとします。
Mozilla Developer Newsブログの投稿では、「すべてのFirefoxユーザーに最新リリースへのアップグレードを強くお勧めします。既にFirefox 3.6をご利用の場合は、24~48時間以内に自動更新通知が届きます。このアップデートは、ヘルプメニューから「更新を確認…」を選択することで手動で適用することもできます。」と強調されています。
CanSecWest では、どのブラウザが最も早く侵害されるかを企業が心配する必要はありませんが、Windows XP または Windows Vista で Firefox 3.6 を使用している企業には、できるだけ早く Firefox 3.6.2 にアップグレードする十分な理由があります。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。 @Tony_BradleyPCWとしてツイートしています。Facebookページをフォローするか、[email protected]までメールでご連絡ください 。
