『IE』がらみの脆弱性などを修正し『Firefox 2.0.0.5』リリース

Mozilla Foundation は18日、主要製品の『Firefox』を更新し、少なくとも9つのセキュリティ問題を修正した『Firefox 2.0.0.5』をリリースした。

修正した問題の1つは、Microsoft (NASDAQ:MSFT) の『Internet Explorer』もインストールされている環境で発生する。セキュリティ勧告「MFSA 2007-23」によると、Internet Explorer から Firefox を起動することによって、リモートコードが実行されるという。

この脆弱性が初めて報告されたのは7月10日で、Firefox を他の Web ブラウザから起動できる URI ハンドラ「firefoxurl://」は、この問題の影響を受ける。

Mozilla Foundation は Firefox 2.0.0.5 でこの問題を修正したが、Mozilla Foundation のセキュリティ勧告によると、他の Windows アプリケーションも、同じように起動されて悪意あるコードを実行される可能性があるという。

「この修正によって不正なデータが受け入れられないようにできるのは Firefox と『Thunderbird』だけだ。このパッチで Internet Explorer の脆弱性が修正されるわけではない」とこの勧告は記している。

Firefox 2.0.0.5 で修正された、深刻度が高い他の脆弱性には次のようなものがある。

・セキュリティ勧告「MFSA 2007-18」は、メモリ破壊によるクラッシュの修正に関するものだ。

・セキュリティ勧告「MFSA 2007-19」は、深刻度が上から2番目とされる脆弱性の修正に関するものだ。setTimeout の問題を突くことによって、他のサイトの要素にスクリプトを混入させるクロスサイト スクリプティングを引き起こす危険性があるという。

・セキュリティ勧告「MFSA 2007-21」は、ドキュメント外の要素に追加されたイベントハンドラを使用し、chrome 権限で任意のコードを実行されるという問題だ。

時間指定の問題は、セキュリティ勧告「MFSA 2007-20」でも深刻度の低い脆弱性の原因として示されており、ウィンドウの読み込み中にフレームが偽装される可能性があるという。Mozilla Foundation のセキュリティ専門家は、時間指定の問題を突くことによって、ページ内の「about:blank」フレームに任意のコンテンツを表示させることが可能だと報告している。「ウィンドウをスクリプトから開く場合、ウィンドウの読み込み中に、新しく開かれるウィンドウ内にあるフレームの内容をわずかな時間で偽装できる」と勧告は述べている。