Mozilla Foundation、『Firefox』のセキュリティ更新版を公開

オープンソース団体の Mozilla Foundation は23日、人気の Web ブラウザ『Firefox』について一連のセキュリティ勧告を公開し、新版 Firefox 1.0.2 で対応したと発表した。

Mozilla Foundation のエンジニアリング担当ディレクタ Chris Hofmann 氏によれば、新版は既知の脆弱性3件に対応するものという。3件のうち2件については、重要性が7段階中上から2番目で、残り1件の重要性は上から3番目となっている。現在までにこれら脆弱性3件を悪用した事例の報告は出ておらず、Mozilla Foundation の開発者はこの1週間、パッチの組み込みとテストを進めていた。

今回 Mozilla Foundation が対応した脆弱性3件のうち、最も危険性が高いのは GIF 画像処理の脆弱性だ。同団体の作成した GIF 画像処理ライブラリに脆弱性が存在し、細工した GIF 画像によってヒープオーバーフローが発生するというもので、このライブラリは Firefox のほか、メールクライアントの『Thunderbird』やインターネットスイートの『Mozilla Suite』でも用いている。Mozilla Foundation は21日、Thunderbird 1.0.2 および Mozilla Suite 1.7.6 を公開しており、それぞれ対応済みだ。

同脆弱性については、10日ほど前にセキュリティ製品ベンダーの Internet Security Systems から報告が上がっていたという。攻撃者がこの脆弱性を突けば、エンドユーザーのシステム上で任意コード実行を許しかねない。

2件目の脆弱性は、重要性については1件目と同じだが、危険性は中程度のもので、サイドバーパネルに関する脆弱性だ。細工した Web ページをブックマークに登録している場合、脆弱性によって、特権ページを開き JavaScript コードを中に埋め込むことにより、任意のプログラム実行に至る可能性があるという。

残る1件は、細工した Web ページで、ユーザーが特定要素のドラッグ操作を行なうと、特権 XUL を開く際の制限を迂回できるというものだ。XUL とは、Mozilla 製品のユーザーインターフェース定義に用いる XML ベースの言語だ。同脆弱性は、Mozilla Suite にも影響し、こちらも新版で対応済みだ。この脆弱性に関しては、攻撃者が任意コードを仕込む方法が今のところ見つかっていないという。ただし Mozilla Foundation は、将来的に攻撃の踏み石になる可能性を警告した。

Mozilla Foundation は、2月末にも Firefox のセキュリティ更新を行ない、Firefox 1.0.1 を公開している。