Mozilla にプライバシー情報を露呈する脆弱性

Mozilla ベースのブラウザを使うと、ユーザーの Web サーフィン活動が漏えいする可能性があることが、研究者の報告で明らかになった。

Neopoly の主任研究員 Sven Neuhaus 氏によると、このバグは5月に初めて発見されたもので、深刻なプライバシー問題を引き起こすという。

Neuhaus 氏の報告によると、Mozilla ベースのブラウザのユーザーが、『JavaScript』の『onunload』あるいは『unload』ハンドラを悪用する Web サイトを訪問すると、その直後あるいは一定時間後に訪問する URL をそのサイトに知られてしまうという。このため、ユーザーは移動先の URL を手動で打ち込んだにしろ、ブックマークで指定したにしろ、Web サイト側から追跡されてしまうことになる。

Neuhaus 氏は、Mozilla の各リリースの脆弱性情報を追跡するサイト Bugzilla で「このバグは Mozilla 1.1 リリースに依然として含まれている……すでに3カ月もの間放置されている」と述べて修正の必要性を訴えた。

脆弱性が存在するのは、Mozilla 0.9x、1.0、1.0.1、1.1および1.2 alpha 版、Netscape 6.x および7、ならびに Galeon 1.2.x および Chimera 0.5となっている。

Mozilla のユーザーには、修正プログラムの準備が整うまでの応急措置として、JavaScript を無効にするよう勧告が出ている。

また、JavaScript を全面的に無効にする方法以外に、プロファイルフォルダ (pref.js という設定ファイルが存在するフォルダ) 内に user.js というファイルを作成して「user_pref("capability.policy.default.Window.onunload", "noAccess")」と書き込むことでも脆弱性をほぼ回避できる。この方法では、onunload ハンドラを無効にして、直後に訪問する URL が漏れないようにしている。

AOL Time Warner (NYSE:AOL) が資金援助を行なっているオープンソース プロジェクトの Mozilla.org は、Linux および Macintosh プラットフォームへのサポートを充実させた Mozilla 1.1版を先月末にリリースしたばかりだ。しかし Neuhaus 氏は、プライバシーに関する脆弱性はアップグレード後も残されたままだと指摘している。