Mozilla、『Firefox 2.0.0.6』で2つの脆弱性を修正

Mozilla Foundation は7月30日、2つの脆弱性を修正した Web ブラウザの最新版『Firefox 2.0.0.6』をリリースした。今週 Mozilla は、セキュリティに関する年次カンファレンス『Black Hat USA 2007』の席上で、Web ブラウザの脆弱性洗い出しツールを披露する予定となっており、それに間に合わせた格好だ。

まず注目すべき1つ目の修正「MFSA 2007-27」は、当初 Mozilla が、Microsoft のブラウザに原因があるとしていた脆弱性に関するものだ。Mozilla の重要度評価は4段階中最大になっている。これは、外部プログラムに URI を不適切な形で渡してしまう問題を修正するための2度目の試みだ。

URI 受け渡しの問題が最初に明らかになった7月10日以来、Mozilla は、さまざまな側面を見せるこの問題に取り組んできた。

Mozilla は7月18日に『Firefox 2.0.0.5』をリリースしたが、これは Firefox が呼び出しを受ける際の安全性を確保したもので、Microsoft のブラウザには URI 受け渡し問題が残っていると Mozilla は述べていた。

そして Mozilla の最高セキュリティ責任者 Window Snyder 氏は、Firefox 2.0.0.5 リリースから1週間後、まだ Firefox には同じ問題の別の側面が残っていることを認めた。Snyder 氏はその際、問題を適切に解決するために素早く行動すると約束した。

そこから1週間がたち、Firefox 2.0.0.6 のリリースとなった。

Mozilla は最新のセキュリティ勧告の中で、次のように説明している。「Mozilla 製品が外部プログラムに渡す URI において、空白文字や二重引用符をパーセントでエンコードしないため、外部プログラムが単一の URI ではなく、複数の引数だと誤って解釈する可能性があることを Jesper Johansson 氏が指摘した。受け手となる特定の外部プログラムが、どのような引数に対応しているかによって危険性は異なるが、少なくとも Firefox (およびメールクライアント『Thunderbird』) 2.0.0.4 とそれ以前のバージョンは、任意スクリプトの実行に利用されるおそれがあった」

Firefox 2.0.0.6 の2つ目の修正「MFSA 2007-26」もまた、Firefox 2.0.0.5 で修正したはずの問題に関係している。

Mozilla によると、今回修正した問題は、Firefox 2.0.0.5 でフレーム偽装問題に対応した「MFSA 2007-20」の修正で入り込んでしまったものだという。