Mozilla、セキュリティ更新版『Firefox 2.0.0.8』を公開

この記事のURLhttp://japan.internet.com/webtech/20071020/12.html

Mozilla Foundation が、Web ブラウザ『Firefox』のセキュリティ更新版『Firefox 2.0.0.8』を公開した。対応したセキュリティ問題の件数は、直近の2回の更新の合計よりも多い。

最新版 Firefox 2.0.0.8 で対応した問題について、Mozilla は8件のセキュリティ勧告を公開した。そのうち少なくとも3件は、以前に修正を試みた問題の変種だ。

公開したセキュリティ勧告のうち、重要度が4段階中最大となっているものは2件ある。

重要度が最大となっている勧告の1件目「MFSA 2007-29 (メモリ破壊の形跡があるクラッシュ)」だが、Mozilla によると、ブラウザがクラッシュする際、攻撃者に悪用を許すおそれがある問題だという。

重要度が最大の2件目は「MFSA 2007-35 (Script オブジェクトを通じた XPCNativeWraper 汚染)」で、JavaScript に関連した問題だ。攻撃者はこれを悪用し、たとえばユーザーがコンテキスト メニューを開こうと右クリックしただけで、該当ユーザーの権限に基づき任意の JavaScript コード実行に至る可能性がある。

Mozilla によると、この問題は『Firefox 2.0.0.5』で修正した、深刻度がより低い問題の変種だという。

重要度が4段階中3番目に高い「MFSA 2007-32 (ファイル入力フォーカスの横取り)」も、以前に修正した問題の変種だ。Mozilla のセキュリティ勧告には次のように書いてある。「ファイル アップロード用フォーム コントロールの前に置いた、特定キーボードイベント用のラベルにページのフォーカスを切り換えることで、このファイル アップロード用フォーム コントロールの内容を、プログラム的に埋めることができる」

攻撃者がこの問題を悪用することで、ユーザーのファイルを盗み出すおそれがある。ただし攻撃者は、ファイルのフルパス名を知り、ユーザーをだまして必要な文字を入力させる必要がある。

Mozilla によると、これは『Firefox 2.0.0.4』で修正したものと同様の問題だという。

Mozilla は、Firefox のさまざまな部分で次々と表面化している URI 処理の問題についても新たに修正を施した。この問題は、『Windows』上で動作する Firefox が同じシステム上のリソースを呼び出す際に起きる問題を起点に表面化し、これまで Mozilla はいくつもの形で対応を図ってきた。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。