Mozilla Foundation、脆弱性報告の翌日に迅速な対応

この記事のURLhttp://japan.internet.com/webtech/20040712/12.html

Mozilla Foundation は、7日に報告のあった Web ブラウザの「shell:」プロトコルに関する脆弱性に即応し、8日に修正パッチを公開した。

修正内容は、外部プロトコルハンドラ「shell:」の使用を、明示的に無効化することで問題を解決する。このハンドラは、ファイル拡張子によって、どのアプリケーションを使用するかを決定するものだ。

同脆弱性は、OS に『Microsoft Windows』を用い、インターネット アプリケーションスイートの『Mozilla』、Web ブラウザの『Firefox』、メールクライアントの『Thunderbird』を使用する場合に問題となる。Linux や『Mac OS』では影響がないことを確認済みだ。修正パッチは、Mozilla ならびに Firefox 用のものと、Thunderbird 用の2種類を用意している。またそれぞれのアプリケーションで、同脆弱性に対応した版も公開しており、修正パッチを施す代わりに最新版をインストールし直す方法もある。それぞれの対応版は、Mozilla 1.7.1、Firefox 0.9.2、および Thunderbird 0.7.2 だ。

脆弱性の情報は7日、Keith McCanless 氏が、セキュリティ問題を討論する公開メーリングリストの『Full-Disclosure』上で示した。Mozilla のセキュリティチームはその日のうちに報告内容を確認し、翌8日に修正パッチを公開した。こうした即応性について業界専門筋は、オープンソースの持つもっとも優れた特徴の1つと述べている。

Mozilla Foundation は、Time Warner (NYSE:TWX) のインターネット部門 AmericaOnline (AOL) 傘下で、Mozilla プロジェクトを始めた Netscape Communications からブラウザ開発を引き継ぎ、2002年7月に独立したオープンソース開発団体。独立後は、世界中のボランティアの協力のもと、Mozilla スイートや派生アプリケーションの開発と更新を続けている。潜在的な脆弱性の根絶を含め、今回の敏速な対応が示すように、Mozilla Foundation は数千人規模に及ぶ開発者を擁することで、多くの非オープンソース ソフトウェア企業にはできないことを可能にしている。