早くも『Firefox 3』に脆弱性存在の報告

Mozilla の Web ブラウザ『Firefox 3』は登場したばかりだが、すでに報告済みの脆弱性があるようだ。ただし開示ポリシーに従い、同脆弱性の詳細は伏されている。

Mozilla のセキュリティ責任者 Window Snyder 氏は、『Mozilla Security Blog』の投稿記事で次のように述べた。

「TippingPoint Technologies の Zero Day Initiative (ZDI) から Mozilla に対し、『Firefox 2.x』および『Firefox 3.0』に影響する脆弱性の報告があった。この問題は現在調査中だ。われわれのユーザーを保護するため、この問題の詳細については、パッチが配布可能となるまで非公開とする。同脆弱性の悪用例はなく、詳細も内密にされている。従って、現時点でのユーザーに対する危険性は最小限のものだ」

この状況について、ある種の企みではと考える向きもあるかもしれない。つまり、Firefox 3 の開発期間が18か月もあったにも関わらず、なぜ今になって脆弱性の存在を明らかにしたのか、もしかしたら、Mozilla を当惑させようという意図があるのでは、という見方だ。

しかし、個人的にはそう思わない。今回の脆弱性を除き、TippingPoint が見出した脆弱性について、これまで度々彼らに話を聞いてきた。特に取材対象としたのは、Apple の『Mac』や『QuickTime』の脆弱性だ。TippingPoint は、これら脆弱性の存在を明らかにしたことについて、Mac のセキュリティの信頼性を損なおうとする意図的なキャンペーンだと捉えた Mac ファンたちから非難を浴びることも多かった。しかし、これは私が知る限り全く当てはまらないし、事実無根だ。

不運にも、Firefox 3 に脆弱性が存在すると公表したタイミングが悪かった。しかし Mozilla はすでに、Firefox 3 のパッチをリリース後6週間で提供する計画を立てている。これは、Mozilla がいつも行なっている、定期的な安定性とセキュリティ確保のための手順だ。率直に言って、私は TippingPoint (および彼らの仕事を請け負っている人々) がバグを発見してくれたことについて、喜ばしく思っている。こうしたバグの発見は、最終的にすべてのユーザーにとって、ソフトウェアをより安全なものにするからだ。「善良な人々」が問題を発見する方が、そうでない場合よりも良いのではないだろうか？