Mozilla、セキュリティ更新版『Firefox 2.0.0.8』を公開

Mozilla Foundation が、Web ブラウザ『Firefox』のセキュリティ更新版『Firefox 2.0.0.8』を公開した。対応したセキュリティ問題の件数は、直近の2回の更新の合計よりも多い。

最新版 Firefox 2.0.0.8 で対応した問題について、Mozilla は8件のセキュリティ勧告を公開した。そのうち少なくとも3件は、以前に修正を試みた問題の変種だ。

公開したセキュリティ勧告のうち、重要度が4段階中最大となっているものは2件ある。

重要度が最大となっている勧告の1件目「MFSA 2007-29 (メモリ破壊の形跡があるクラッシュ)」だが、Mozilla によると、ブラウザがクラッシュする際、攻撃者に悪用を許すおそれがある問題だという。

重要度が最大の2件目は「MFSA 2007-35 (Script オブジェクトを通じた XPCNativeWraper 汚染)」で、JavaScript に関連した問題だ。攻撃者はこれを悪用し、たとえばユーザーがコンテキスト メニューを開こうと右クリックしただけで、該当ユーザーの権限に基づき任意の JavaScript コード実行に至る可能性がある。

Mozilla によると、この問題は『Firefox 2.0.0.5』で修正した、深刻度がより低い問題の変種だという。

重要度が4段階中3番目に高い「MFSA 2007-32 (ファイル入力フォーカスの横取り)」も、以前に修正した問題の変種だ。Mozilla のセキュリティ勧告には次のように書いてある。「ファイル アップロード用フォーム コントロールの前に置いた、特定キーボードイベント用のラベルにページのフォーカスを切り換えることで、このファイル アップロード用フォーム コントロールの内容を、プログラム的に埋めることができる」

攻撃者がこの問題を悪用することで、ユーザーのファイルを盗み出すおそれがある。ただし攻撃者は、ファイルのフルパス名を知り、ユーザーをだまして必要な文字を入力させる必要がある。

Mozilla によると、これは『Firefox 2.0.0.4』で修正したものと同様の問題だという。

Mozilla は、Firefox のさまざまな部分で次々と表面化している URI 処理の問題についても新たに修正を施した。この問題は、『Windows』上で動作する Firefox が同じシステム上のリソースを呼び出す際に起きる問題を起点に表面化し、これまで Mozilla はいくつもの形で対応を図ってきた。