今回の脆弱性を発見した研究者で、Webブラウザのバグを定期的に発表しているマイケル・ザレウスキー氏は4日、「Full-disclosure(事実の解明)」と題したメーリング・リストの投稿メールの中で、Webブラウザに関する4件の脆弱性を発表。そのうちFirefoxに関連する2件の危険度をそれぞれ「高」「中」と評価した。
Mozillaのチーフ・セキュリティ・オフィサーのウィンドウ・スナイダー氏は5日、先週開設したばかりセキュリティ・ブログ(blog.mozilla.com/security/)で、ザレウスキー氏が危険度「高」と評価したバグについて、危険度を「低」と判定したうえで、次のようにコメントしていた。
「この脆弱性は、フレームを利用して他のサイトになりすましたサイトにユーザーを誘導する危険性はあるが、コードの実行には至らない。ただ、フィッシング詐欺と組み合わせて悪用される可能性はある」
これに対して、ザレウスキー氏は電子メールによるインタビューに答え、「Mozillaではこのバグをよくある“サイトのなりすまし”を許すものとして危険度を『低』と評価しているが、私はそれ以上の危険性があると判断した。しかし、ウィンドウ氏の評価と私の分析が大きく食い違っているわけではない」と述べていた。
ところが、Mozillaのスナイダー氏は同日、「詳しい検証の結果、2件のバグが同時に悪用された場合、ユーザーがアクセス権限を持つシステム内の全ファイルに攻撃者のアクセスを許す可能性がある。この場合の危険度は『中』と評価される」というコメントをブログ上に追加した。
ザレウスキー氏は、Mozillaのスナイダー氏との間で意見の食い違いはないとしたうえで、「(今回公表した4件の脆弱性のうち)より重大なのはInternet Explorer(IE)のバグだ。他の3件にも問題はあるが、危険度は『重大』ではない」とし、その点で関係者の意見は一致していると強調した。
スナイダー氏はブログ記事の中で、危険度「低」とされたバグに関してはMozillaのセキュリティ・チームが、原因と見られるコンテント・ハンドラ管理の改善に取りかかったと説明している。
一方、ザレウスキー氏は、同じく4日に配信した投稿メールの中で、AppleのWebブラウザ「Safari」に関しても、IE 6およびIE 7と同様の危険度「重大」の脆弱性があることを示唆している。
今年1月にスタートしたApple製品のバグを公開するプロジェクト「Month of Apple Bugs(MOAB)」の推進者として知られるケビン・フィニステール氏は5日、この脆弱性を確認したことを明らかにしている。
この件に関してAppleにコメントを求めたが、回答は得られなかった。
(グレッグ・カイザー/Computerworld オンライン米国版)