先週開催されたブラウザハッキングコンテスト「Pwn2own」でセキュリティ企業 VUPEN は、Windows 版 Firefox 19.0.1 に対してゼロデイ脆弱性を突いた攻撃が可能であることを示した。VUPEN はこの脆弱性の発見で、コンテスト主催者である HP から6万ドルを授与されている。

Mozilla、Firefox 19.0.2 をリリース―ブラウザハッキングコンテストで発見された脆弱性に24時間で対応
だが Mozilla はこの脆弱性が発見されて24時間以内に、同脆弱性が修正された Firefox 19.0.2 をリリースしたのだ。Mozilla Foundation セキュリティアドバイザリには、次のようにある。

「HTML エディタ内部の解放後使用が、VUPEN Security により、TippingPoint Zero Day Initiative を通じて報告された。これは、エディタの内部操作実行中に、document.execCommand() 関数でコンテンツスクリプトが実行されたときに生じる問題で、任意のコード実行を許す恐れがあった」

解放後使用エラーが発見されることは、Firefox では珍しいことではない。だが、脆弱性が報告された後、それが24時間以内に修正されるのは、Mozilla に限らずあらゆるブラウザベンダーを含めてみても、非常に珍しいことだ。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。