軽さが人気のオープンソースWEBブラウザ「Firefox」に、パスワードを盗まれる危険性のある脆弱性が見つかった。
今回見つかった脆弱性は、Firefoxのパスワード管理機能「Password Manager」が、当該URLのドメインしかチェックせずにパスワードを自動入力してしまうというもの。同じドメインの偽装ページのフォームに対しても「ユーザー名とパスワード」を自動入力してしまうため、入力内容を盗み出されてしまう恐れがある。脆弱性の発見者によれば、人気のSNSサイト「MySpace」のログイン画面に見せかけ、パスワードを盗み出そうとしたフィッシング事例もすでに報告されているという。
影響を受けるのはFirefox 2.0およびそれ以前のバージョン。この問題を解決するためのパッチは公開されていないが、パスワード・マネージャを無効にすれば回避することができる。Firefox2.0はツールのオプションタブのパスワード欄の「サイトのパスワードを記憶する」のチェックを外す。Firefox1.0の場合はツールのプライバシータブのパスワード欄「パスワードを記憶する」のチェックを外せばパスワード・マネージャを無効にできる。
(2006/11/24 ネットセキュリティニュース)
■Mozilla Firefox Password Manager Arbitrary Credentials Disclosure Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/4662
■[2/5] Firefox Password Manager Information Disclosure[英文](Secunia)
http://secunia.com/advisories/23046/
■MySpace Accounts Compromised by Phishers[英文](Netcraft)
http://news.netcraft.com/archives/2006/10/27/myspace_accounts_compromised_by_phishers.html
■CIS Finds Flaws in Firefox v2 Password Manager[英文](Chapin Information Services)
http://www.info-svc.com/news/11-21-2006/