デンマークのセキュリティベンダーSecuniaは8日(現地時間)、Webブラウザ「Firefox」に深刻な2つの脆弱性が存在することを報告した。2つの脆弱性をあわせた危険度は、同社が定める5段階の危険度のうち最高の「Extremely critical」。対象となるFirefoxのバージョンは1.0以降、最新版リリースである1.0.3も含まれる。

報告された脆弱性のうち1件は、IFRAME JavaScript URLが保護されない問題で、任意のHTMLおよびスクリプトの実行を許してしまう危険があるというもの。もう1件は、InstallTrigger.install()関数のIconURLパラメータが適切に検証されない結果、任意のJavaScriptコードの実行が可能になる脆弱性を指摘している。

Firefoxは、「update.mozilla.org」や「addons.mozilla.org」などのサイトを登録し、プラグインなどの追加プログラムを自動インストールできる仕様となっている。Secuniaでは、今回報告した2件の脆弱性を組み合わせることにより、任意のコードが実行されてしまう危険が生じるとしている。

現時点では、Firefoxの開発元であるMozilla Foundationからパッチの提供は行われていない。Secuniaでは、対策としてFirefoxのJavaScript機能を無効にすることを推奨している。