ファイアフォックスのユーザはご注意。モジラはブラウザの更新を直ちに行なうよう呼びかけている。きっかけとなったのが、ロシアのニューズ・サイトに掲載された広告に脆弱性が発見されたことで、これによってファイアフォックスのユーザがローカルに保存じたファイルの権限を奪われることがある。
「脆弱性はジャヴァスクリプト(JavaScript)のコンテキスト分離（同一生成元ポリシー）とファイアフォックスのＰＤＦビューワーとの関連付けを司る機構の相互作用によるものです」とモジラのセキュリティー主幹をつとめるダニエル・ヴェディツはブログ記事で述べている。
攻撃者が侵入に成功した場合、ファイアフォックスのセキュリティー設定が乗っ取られ、ユーザのマシンにある重要なファイルを探り当て、それをリモート・サーバにアップロードする悪意的なスクリプトを実行されるおそれがある。このサーバの位置はウクライナとみられる。
これは誰でも、仕掛けが組み込まれたページを見ただけで感染するものであり、その仕掛けには追跡が不可能だとモジラは指摘している。
この問題がはじめて指摘されたのは８月５日水曜日のことで、セキュリティー・アップデートは昨日公布された。
モジラによるとウィンドウズおよびリナックスのユーザだけが対象になっているようだが、このマルウェアはMacユーザにも適応可能だという。そのため、すべての人は最新ヴァージョンへのアップデートが推奨される。
たとえあなたがロシアのニューズ・サイトを見ていなくても、問題になっている広告がべつの場所に掲載されていないとは断定できない。アンドロイド版ファイアフォックスなど、ＰＤＦビューワーの組み込みがないモジラ製品は感染のおそれはない。
広告ブロッキングは否定的な見方が大勢となっているものの、今回のような事件があると、コンピューターに広告ブロッキング・ソフトウェアを採用することを正当化する理由にはなりそうだ。続きを読む
(From the VentureBeat blog post. Thanks to Paul Sawers.)