Mozilla、複数の脆弱性を修正した『Firefox 1.5.0.2』を公開

Mozilla Foundation は13日、オープンソース Web ブラウザ『Firefox』のセキュリティアップデート版 Firefox 1.5.0.2 を公開した。修正した脆弱性は合計で7件あり、そのうち5件は深刻度評価が最大になっている。

深刻度が最大のもの5件を順番に見ていくと、まずセキュリティ勧告「MFSA 2006-20」は、『DHTML』によって発生するクラッシュ問題に関するものだ。

同勧告によると、「これらクラッシュの一部で、(攻撃者が) そこそこ手をかければ、任意コード実行に至る恐れがあると推定できるメモリ破損の形跡が見られた」という。

次に「MFSA 2006-22」は、『CSS』の字間設定プロパティ「letter-spacing」が引き起こす整数値オーバーフロー問題に関するものだ。これは最終的に、ヒープ領域のバッファオーバーフローに至り、任意コード実行が可能な状況を作り出す。

深刻度が最大のもののうち、3番目のセキュリティ勧告「MFSA 2006-24」は、「crypto.generateCRMFRequest」メソッドを使った権限昇格問題に関するもので、この脆弱性を悪用すると、悪質プログラムのインストールが可能になるという。

4番目のセキュリティ勧告「MFSA 2006-25」も、権限昇格問題に関するものだ。これは「Print Preview」を実行時に発生する。

深刻度が最大の勧告のうち最後のもの「MFSA 2006-28」は、『JavaScript』のセキュリティチェック機能を回避できる問題で、悪質プログラムのインストールに悪用し得るという。

Firefox 1.5.0.2 では、脆弱性修正のほかにも、Intel 製プロセッサ『Core』を搭載した Apple Computer の『Macintosh』に対応するため、『Mac OS X』版がユニバーサルバイナリとなった。ユニバーサルバイナリとは、x86 コードと『PowerPC』コードを併せ持つプログラム形式だ。

また安定性の向上としては、Firefox 1.5.0.1 で報告のあった、複数のクラッシュ状況の原因と思われる最終ガーベージコレクション (LDGC) の問題に対応し、障害発生頻度を引き下げた。このほか、Google のメールサービス『Gmail』利用時のクラッシュや、『Yahoo! Mail Beta』利用時のクラッシュなど、特定のクラッシュ状況3件にも対応した。

ほかにも、Firefox 1.5.0.2 では安定性向上のため、ドキュメント内検索機能の使用時や、履歴自動補完を用いた時など、3件のメモリリークも修正した。

Firefox 1.5.0.2 は、Firefox 1.5 系列で今年2回目の更新だ。前回は2月に Firefox 1.5.0.1 を公開した。また今回 Firefox 1.0 系列でも、セキュリティアップデート版 Firefox 1.0.8 を公開しており、多数の脆弱性修正と安定性向上を行なっている。

Firefox 全体のロードマップとしては、次のメジャーバージョンアップ版 Firefox 2.0 の開発が進んでおり、3月に Firefox 2.0 のアルファ版を公開済みだ。Firefox 2.0 の正式版は、8月に登場する予定となっている。