|
|
| Webテクノロジー | 2007年3月23日 10:30 |
|
Mozilla が『Firefox 2.0.0.3』をリリース、対応した脆弱性は1件 著者: Sean Michael Kerner オリジナル版を読む ▼2007年3月23日 10:30 付の記事 ■海外internet.com発の記事 Mozilla Foundation が Web ブラウザ『Firefox』を更新する際、いつもなら複数の脆弱性にまとめて対応するのが常だ。しかし、20日にリリースした『Firefox 2.0.0.3』と『Firefox 1.5.0.11』は、1件の脆弱性のみに対応したセキュリティ更新版だ。また今回の更新は、コミュニティの取り組み拡大による初めての成果でもある。 新版で対応した脆弱性は、Firefox が特定の FTP コマンドを処理する方法に関するもので、影響としてはそれほど大きくない。Mozilla のセキュリティ勧告によると、細工した FTP サーバーを攻撃者が用意して Web ページを設け、FTP の PASV コマンドを用いて攻撃相手のファイヤーウォール内のシステムに対し、原始的なポートスキャンを実行できるという。これは、FTP サーバーが代替サーバーのアドレスを返すことができるという FTP の仕様を利用したもので、Firefox は今回の更新で代替サーバーアドレスを無視するようになった。 同勧告によると、この問題そのものは無害だが、ポートスキャンで得られる内部ネットワークの情報は、そのネットワークが何か別の脆弱性を抱えていれば、攻撃者にとって有用な情報になり得るという。ポートスキャンは、クラッカーが攻撃対象を列挙するため、最初に実行する手段として用いることが多い。 Mozilla は、今回リリースした Firefox 2.0.0.3 および Firefox 1.5.0.11 で同脆弱性を修正した。 Firefox 2.0.0.3 には、新しい側面がある。Firefox のポイントリリースのため、より広範なコミュニティ ベータプログラムにユーザーを参加させるようにした検証強化の効果を活かした点だ。 Mozilla は Firefox 2.0 などの主要リリースで、正式版公開までに複数のリリース候補を公開するという手法をとっている。リリース候補版をダウンロードしてインストールした誰もが、ベータプログラムに参加する格好だ。そして今後、Firefox の個々のポイントリリースも同様の形になる。 Mozilla Corporation のマーケティングおよび製品管理担当副社長 Christopher Beard 氏は、取材に対し次のように語った。「現在われわれは、世界中で数十万人のメンバーを擁しており、数か月以内にベータプログラムを拡大したい考えだ。ベータプログラムをマイナーリリースにも拡大することにより、セキュリティと安定性のためのリリースプロセスが、効果と品質の面で全体的に向上する」 |
| トップページ | 画面トップ |
|
||
|
||
|
