Mozilla Foundation は7月30日、2つの脆弱性を修正した Web ブラウザの最新版『Firefox 2.0.0.6』をリリースした。今週 Mozilla は、セキュリティに関する年次カンファレンス『Black Hat USA 2007』の席上で、Web ブラウザの脆弱性洗い出しツールを披露する予定となっており、それに間に合わせた格好だ。
まず注目すべき1つ目の修正「MFSA 2007-27」は、当初 Mozilla が、Microsoft のブラウザに原因があるとしていた脆弱性に関するものだ。Mozilla の重要度評価は4段階中最大になっている。これは、外部プログラムに URI を不適切な形で渡してしまう問題を修正するための2度目の試みだ。
URI 受け渡しの問題が最初に明らかになった7月10日以来、Mozilla は、さまざまな側面を見せるこの問題に取り組んできた。
Mozilla は7月18日に『Firefox 2.0.0.5』をリリースしたが、これは Firefox が呼び出しを受ける際の安全性を確保したもので、Microsoft のブラウザには URI 受け渡し問題が残っていると Mozilla は述べていた。
Mozilla は最新のセキュリティ勧告の中で、次のように説明している。「Mozilla 製品が外部プログラムに渡す URI において、空白文字や二重引用符をパーセントでエンコードしないため、外部プログラムが単一の URI ではなく、複数の引数だと誤って解釈する可能性があることを Jesper Johansson 氏が指摘した。受け手となる特定の外部プログラムが、どのような引数に対応しているかによって危険性は異なるが、少なくとも Firefox (およびメールクライアント『Thunderbird』) 2.0.0.4 とそれ以前のバージョンは、任意スクリプトの実行に利用されるおそれがあった」