『Firefox』、最新版で『JavaScript』関連の脆弱性を修正

『JavaScript』は、Mozilla Corporation のオープンソースブラウザ『Firefox』の素晴らしい能力の源だが、残念なことに、多くの脆弱性の発生源にもなっている。

27日にリリースされた最新版『Firefox 1.5.0.5』では、重要度が「最高」とされているものだけでも7件の脆弱性が修正されているが、そのすべてに JavaScript が関与している。

今回のセキュリティ勧告から、JavaScript 関連で重要度が最高の脆弱性について見ていこう。

「MFSA 2006-44」は、ある特定の状況において、JavaScript によるフレームまたはウィンドウに対する参照が、参照されたコンテンツがなくなっても適切に取り除かれない場合があるという脆弱性で、この削除済みオブジェクトへのポインタが、攻撃者による任意のコード実行に利用される可能性があるという。

「MFSA 2006-45」は、「window.navigator」オブジェクトのプロパティ参照により、任意コード実行を招きかねないものだ。

「MFSA 2006-50」は、JavaScript エンジンの脆弱性に関係する。

「MFSA 2006-48」の脆弱性は、新規「Function」オブジェクト作成に使用中の一時変数が、JavaScript のガベージコレクションによって削除された場合、競合状態に陥るというもので、やはり任意のコード実行を招きかねない。

勧告のタイトルに「JavaScript」という語句が入っていなくても、なんらかの形で JavaScript が関係する脆弱性もあるようだ。

「MFSA 2006-46」は、その一例だ。同脆弱性は、あるイベントの同時発生処理に存在し、メモリ破壊を引き起こす。この脆弱性も任意のコード実行を許す可能性があるという。セキュリティ勧告では、更新しない場合の対処法として JavaScript の無効化を挙げている。