Mozilla が『Firefox 2.0.0.3』をリリース、対応した脆弱性は1件

Mozilla Foundation が Web ブラウザ『Firefox』を更新する際、いつもなら複数の脆弱性にまとめて対応するのが常だ。しかし、20日にリリースした『Firefox 2.0.0.3』と『Firefox 1.5.0.11』は、1件の脆弱性のみに対応したセキュリティ更新版だ。また今回の更新は、コミュニティの取り組み拡大による初めての成果でもある。

新版で対応した脆弱性は、Firefox が特定の FTP コマンドを処理する方法に関するもので、影響としてはそれほど大きくない。Mozilla のセキュリティ勧告によると、細工した FTP サーバーを攻撃者が用意して Web ページを設け、FTP の PASV コマンドを用いて攻撃相手のファイヤーウォール内のシステムに対し、原始的なポートスキャンを実行できるという。これは、FTP サーバーが代替サーバーのアドレスを返すことができるという FTP の仕様を利用したもので、Firefox は今回の更新で代替サーバーアドレスを無視するようになった。

同勧告によると、この問題そのものは無害だが、ポートスキャンで得られる内部ネットワークの情報は、そのネットワークが何か別の脆弱性を抱えていれば、攻撃者にとって有用な情報になり得るという。ポートスキャンは、クラッカーが攻撃対象を列挙するため、最初に実行する手段として用いることが多い。

Mozilla は、今回リリースした Firefox 2.0.0.3 および Firefox 1.5.0.11 で同脆弱性を修正した。

Firefox 2.0.0.3 には、新しい側面がある。Firefox のポイントリリースのため、より広範なコミュニティ ベータプログラムにユーザーを参加させるようにした検証強化の効果を活かした点だ。

Mozilla は Firefox 2.0 などの主要リリースで、正式版公開までに複数のリリース候補を公開するという手法をとっている。リリース候補版をダウンロードしてインストールした誰もが、ベータプログラムに参加する格好だ。そして今後、Firefox の個々のポイントリリースも同様の形になる。

Mozilla Corporation のマーケティングおよび製品管理担当副社長 Christopher Beard 氏は、取材に対し次のように語った。「現在われわれは、世界中で数十万人のメンバーを擁しており、数か月以内にベータプログラムを拡大したい考えだ。ベータプログラムをマイナーリリースにも拡大することにより、セキュリティと安定性のためのリリースプロセスが、効果と品質の面で全体的に向上する」