『Firefox』、緊急のセキュリティ修正を含む最新版がリリース

毎日のように、何らかのブラウザ向けにセキュリティ修正プログラムが提供されている。

今回は、Mozilla Foundation のオープンソース Web ブラウザ『Firefox』だ。16日にリリースされたセキュリティ修正プログラムは、最新版となる『Firefox 3.0.5』および『Firefox 2.0.0.19』にそれぞれ組み込まれており、少なくとも10種類の異なる脆弱性に対応している。このうちの4つは、対応の重要度が「最高」に位置づけられている。

最新版のリリースには、セキュリティ修正が行なわれただけではない。バージョン 3.0.5 では、Mozilla Firefox のエンドユーザー ライセンス契約 (EULA) が変更されている。また、バージョン 2.0.0.19 は、2.x 系列において、セキュリティ更新が行なわれる最後のバージョンとされている。

Mozilla の開発者 Samuel Sidler 氏はメーリングリストへの投稿の中で、次のように記している。「Mozilla では、Firefox 2 (系列) において今後セキュリティおよび機能向上のための更新を行なう予定はなく、できるかぎり早く Firefox 3 (系列) にアップグレードすることを推奨している」

Firefox 2.x 系列は、2006年10月に『Firefox 2.0』が正式版として初公開された。

一方、Firefox の EULA の見直しは、少なくとも今年9月から検討されていた。

多くの支持者の間で意見が分かれていた問題は、オープンソースのソフトウェアとして、Firefox に EULA が必要かどうかということだ。Mozilla は今回の最新版リリースで、これまでの EULA が初回インストール時に表示される『あなたの権利について』情報バーに置き換えられるようにした。これは、ユーザーが Firefox で何ができるかを説明するものだ。

重要度が最高とされているセキュリティ修正内容をみてみると、最新版では3種類のクロスサイト スクリプティング (XSS) に関する脆弱性が修正されている。Mozilla Foundation セキュリティアドバイザリ 2008-68 には、異なる Web サイトのコンテキストで任意の JavaScript を実行できてしまう、XSS と JavaScript 特権昇格問題についての詳細な説明が書かれている。

また、2008-69 では、Firefox のセッション復元機能における XSS 脆弱性について、2008-62 ではフィードプレビューを通じた XSS 攻撃の追加修正について説明されている。

XSS に関連するもの以外では、2008-60 で、メモリ破壊の形跡があるクラッシュの修正が行われている。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール