報道によれば、新たに確認された深刻な脆弱性に対応するため、Mozilla Foundation はオープンソース Web ブラウザ Firefox の最新版 Firefox 3.6.2 を予定よりも早くリリースした。
今回、 Windows 、 Mac OS X 、 Linux 各プラットフォーム版が同時リリースとなった Firefox 3.6.2 だが、当初3月30日に公開する予定だった。
しかし、「 Firefox 3.6 に深刻な脆弱性が見つかった。」ため、予定を前倒しにした。
Firefox 3.6 では、Web フォント形式 Web Open File Format (WOFF) に対応しているが、この WOFF 実装に整数オーバーフローが発生する欠陥がある。
Mozilla は22日に公開したセキュリティ勧告の中で、
「この脆弱性により、ダウンロード フォントの格納に割り当てるメモリ バッファの著しい不足という状況が発生するおそれがある。
攻撃者が同脆弱性を悪用することで、攻撃相手のブラウザをクラッシュさせ、該当システム上で任意のコードを実行しかねない。
WOFF は、ダウンロード可能なフォント用のオープンなファイル形式で、Firefox 3.6 から対応した。
バージョン 3.6 より前の Firefox は WOFF に対応していないため、今回 Firefox 3.6.2 で修正した WOFF 脆弱性の影響はない。」と、説明している。
この WOFF 脆弱性について、最初に報告が公の場に出たのは2月下旬のことだ。
Mozilla は問題を再現できる概念実証コードを入手していなかったことから、当時の公式セキュリティ Blog の中で、「 WOFF 脆弱性を確認できない。」として脆弱性報告を退けていた。
また Mozilla はその際、「最初に同脆弱性を発見したセキュリティ研究者から、さらなる情報を得ようと試みたものの、連絡が取れなかった。」とも記していた。
だが3月18日の公式セキュリティ Blog で、「Mozilla は問題を発見したセキュリティ研究者の Evgeny Legerov 氏から返答があった。」と明らかにした。
Mozilla は「同氏から該当の脆弱性に関する詳しい情報を得て、問題が実際に存在し、正真正銘の深刻な脆弱性だ。」と判断した。
この報道を見て思ったのは、「“正真正銘の深刻な脆弱性”って言うが、セキュリティ上の欠陥は全て脆弱性だ。」ということだ。
どんなに小さな欠陥であろうと、見逃せば、サイバー犯罪者はそこを突いてくる。
認識がまだ甘いぜ。