Mozilla Foundation は12日、人気 Web ブラウザ『Firefox』およびインターネットスイート製品『Mozilla Suite』のアップデート版を公開した。新版の『Firefox 1.0.4』および『Mozilla 1.7.8』は、両製品に共通する3つの深刻な脆弱性 (詳細には4件) などを修正している。
最新版が対応した脆弱性は、攻撃者に任意のコード実行や、権限が昇格した状態のスクリプト実行を許しかねないものだった。新版はそれぞれ、Firefox および Mozilla の専用ページからダウンロードできる。
対応した脆弱性の1つで、Mozilla Foundation がセキュリティ勧告「MFSA 2005-43」で示したものは、内包した JavaScript URL (javascript: 形式のもの) によって、セキュリティチェックを迂回できるという内容だ。この脆弱性は、スクリプト注入を防ぐために Mozilla ブラウザが備えるチェック機構を迂回できるというもので、攻撃者による任意コード実行や、クロスサイトスクリプティング攻撃を許してしまう。
2つめの脆弱性は、セキュリティ勧告「MFSA 2005-44」で示した非 DOM プロパティの上書きによる権限昇格問題だ。この脆弱性は、リンクのクリックやコンテキストメニューを開くといった一般的な操作を行なうだけで、攻撃者が任意のコードをインストールしたり、データを盗み出しかねないというものだ。同脆弱性への対応は、以前 Mozilla Foundation が対応した DOM プロパティの上書きによる権限昇格問題 (MFSA 2005-41) の応用例を防ぐ目的で行なったという。いずれも特権付きユーザーインターフェース コード「chrome」が原因だった。修正により、スクリプトオブジェクトを呼び出し側の権限ではなく、生成側の権限で実行するようになった。
もう1つの脆弱性は (正確には2つの脆弱性から成る)、先日報じた通り、セキュリティ調査グループの Greyhats Security Group が最初に公開したもので、Mozilla Foundation のセキュリティ勧告では「MFSA 2005-42」に該当する。Greyhats は、攻撃者が同脆弱性を悪用することで、ブラウザは追加ソフトウェアをインストールする際に、『Mozilla Update』サイトがデフォルトで設定済みの許可リストにあるサイトのものと勘違いし、許可リストにないサイトからソフトウェアをインストールしかねないと指摘していた。
(携帯・ワイヤレス 7月19日 12:00)
IT部門のジレンマ、解決します。
