Mozilla が『Firefox 2.0.0.3』をリリース、対応した脆弱性は1件

この記事のURLhttp://japan.internet.com/webtech/20070323/12.html

Mozilla Foundation が Web ブラウザ『Firefox』を更新する際、いつもなら複数の脆弱性にまとめて対応するのが常だ。しかし、20日にリリースした『Firefox 2.0.0.3』と『Firefox 1.5.0.11』は、1件の脆弱性のみに対応したセキュリティ更新版だ。また今回の更新は、コミュニティの取り組み拡大による初めての成果でもある。

新版で対応した脆弱性は、Firefox が特定の FTP コマンドを処理する方法に関するもので、影響としてはそれほど大きくない。Mozilla のセキュリティ勧告によると、細工した FTP サーバーを攻撃者が用意して Web ページを設け、FTP の PASV コマンドを用いて攻撃相手のファイヤーウォール内のシステムに対し、原始的なポートスキャンを実行できるという。これは、FTP サーバーが代替サーバーのアドレスを返すことができるという FTP の仕様を利用したもので、Firefox は今回の更新で代替サーバーアドレスを無視するようになった。

同勧告によると、この問題そのものは無害だが、ポートスキャンで得られる内部ネットワークの情報は、そのネットワークが何か別の脆弱性を抱えていれば、攻撃者にとって有用な情報になり得るという。ポートスキャンは、クラッカーが攻撃対象を列挙するため、最初に実行する手段として用いることが多い。

Mozilla は、今回リリースした Firefox 2.0.0.3 および Firefox 1.5.0.11 で同脆弱性を修正した。

Firefox 2.0.0.3 には、新しい側面がある。Firefox のポイントリリースのため、より広範なコミュニティ ベータプログラムにユーザーを参加させるようにした検証強化の効果を活かした点だ。

Mozilla は Firefox 2.0 などの主要リリースで、正式版公開までに複数のリリース候補を公開するという手法をとっている。リリース候補版をダウンロードしてインストールした誰もが、ベータプログラムに参加する格好だ。そして今後、Firefox の個々のポイントリリースも同様の形になる。

Mozilla Corporation のマーケティングおよび製品管理担当副社長 Christopher Beard 氏は、取材に対し次のように語った。「現在われわれは、世界中で数十万人のメンバーを擁しており、数か月以内にベータプログラムを拡大したい考えだ。ベータプログラムをマイナーリリースにも拡大することにより、セキュリティと安定性のためのリリースプロセスが、効果と品質の面で全体的に向上する」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。