Mozillaは先週、「Firefox」のPDF Viewerの脆弱性を利用してユーザーのローカルファイルシステム上の機密ファイルを検索する悪質な広告がロシアのニュースサイト上に存在するという報告を、セキュリティ研究者のCody Crews氏から受けた。

このエクスプロイトは「Firefox 39.0.3」で修正され、延長サポート版「Firefox ESR 38.1.1」も提供された。

「Android」版Firefoxなど、同ブラウザのPDF Viewerを含まないバージョンにはこの脆弱性はない。

MozillaのセキュリティリードDaniel Veditz氏はブログ記事で、「この脆弱性は、JavaScriptのコンテキスト分離（同一生成元ポリシー）を確保する仕組みと、FirefoxのPDF Viewerとの相互作用に起因する」と述べている。

「脆弱性は、任意のコードを実行可能にするものではないが、このエクスプロイトは、ローカルファイルのコンテキストにJavaScriptペイロードを挿入できるものだった。それにより、機密と思われるローカルファイルの検索とアップロードが可能になっていた」（Veditz氏）

Veditz氏によると、ペイロードは、Windowsシステム上の構成ファイルであるsubversion、s3browser、Filezilla、libpurpleを検索するという。Linux上では、/etc/内のグローバル構成ファイルに加えて、.bash_history、.mysql_history、.pgsql_history、.sshファイル、名前に「pass」や「access」を含むテキストファイル、任意のshellスクリプトを検索する。

ペイロードによって検出されたファイルはすべて、ウクライナにあるとされるサーバにアップロードされる。

「Mac」ユーザーはこのエクスプロイトの影響を受けないが、同じ脆弱性を利用する別のペイロードが存在する可能性があるとVeditz氏は警告した。

「このエクスプロイトはローカルマシン上で実行した形跡を残さない」とVeditz氏は述べ、「WindowsまたはLinux上でFirefoxを使用し、関連するプログラムを使用する場合は、上述のファイルの中のパスワードやキーを変更することが賢明だ」としている。