Mozilla Foundation、『Firefox』のセキュリティ更新版を公開

この記事のURLhttp://japan.internet.com/webtech/20050324/11.html

オープンソース団体の Mozilla Foundation は23日、人気の Web ブラウザ『Firefox』について一連のセキュリティ勧告を公開し、新版 Firefox 1.0.2 で対応したと発表した。

Mozilla Foundation のエンジニアリング担当ディレクタ Chris Hofmann 氏によれば、新版は既知の脆弱性3件に対応するものという。3件のうち2件については、重要性が7段階中上から2番目で、残り1件の重要性は上から3番目となっている。現在までにこれら脆弱性3件を悪用した事例の報告は出ておらず、Mozilla Foundation の開発者はこの1週間、パッチの組み込みとテストを進めていた。

今回 Mozilla Foundation が対応した脆弱性3件のうち、最も危険性が高いのは GIF 画像処理の脆弱性だ。同団体の作成した GIF 画像処理ライブラリに脆弱性が存在し、細工した GIF 画像によってヒープオーバーフローが発生するというもので、このライブラリは Firefox のほか、メールクライアントの『Thunderbird』やインターネットスイートの『Mozilla Suite』でも用いている。Mozilla Foundation は21日、Thunderbird 1.0.2 および Mozilla Suite 1.7.6 を公開しており、それぞれ対応済みだ。

同脆弱性については、10日ほど前にセキュリティ製品ベンダーの Internet Security Systems から報告が上がっていたという。攻撃者がこの脆弱性を突けば、エンドユーザーのシステム上で任意コード実行を許しかねない。

2件目の脆弱性は、重要性については1件目と同じだが、危険性は中程度のもので、サイドバーパネルに関する脆弱性だ。細工した Web ページをブックマークに登録している場合、脆弱性によって、特権ページを開き JavaScript コードを中に埋め込むことにより、任意のプログラム実行に至る可能性があるという。

残る1件は、細工した Web ページで、ユーザーが特定要素のドラッグ操作を行なうと、特権 XUL を開く際の制限を迂回できるというものだ。XUL とは、Mozilla 製品のユーザーインターフェース定義に用いる XML ベースの言語だ。同脆弱性は、Mozilla Suite にも影響し、こちらも新版で対応済みだ。この脆弱性に関しては、攻撃者が任意コードを仕込む方法が今のところ見つかっていないという。ただし Mozilla Foundation は、将来的に攻撃の踏み石になる可能性を警告した。

Mozilla Foundation は、2月末にも Firefox のセキュリティ更新を行ない、Firefox 1.0.1 を公開している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。