Mozilla、9件の脆弱性に対応した『Firefox 3.0.11』を公開

6月もようやく半ばというところだが、Mozilla Foundation の開発者らにとって多忙な月であることはすでに明らかだ。

開発チームはこの数日間で、次期ブラウザ『Firefox 3.5』のプレビュー版を公開するとともに、Firefox 用アドオン開発プラットフォームの最新版『Jetpack 0.2』をリリースした。しかも、それと同時に、Firefox の現行バージョンにあるいくつかの脆弱性に対応するために、Firefox の新しいセキュリティ更新版に取り組んでいたのだ。

新しいセキュリティ更新版として11日に公開された『Firefox 3.0.11』は、9件のセキュリティ上の脆弱性に対応したものだ。Mozilla はそのうちの4件について、4段階の重要度の中で最も深刻な「最高」としている。

Firefox のセキュリティ更新ではおなじみの表現だが、重要度が「最高」と分類されたセキュリティ アドバイザリの1つ『MFSA 2009-24』は、Mozilla の言う「メモリ破壊の形跡があるクラッシュ」に関するものだ。Firefox 3.0.11 では、メモリ破壊の可能性を回避するため、クラッシュを引き起こす少なくとも4つの条件に対応した修正が行なわれた。

Firefox 3.0.11 で修正された重要度「最高」の問題はほかにもある。『MFSA 2009-32』は JavaScript によるクローム特権昇格という問題に対応したものだ。

なりすましに関する問題についてもブラウザ ベンダー各社が警戒しているが、Firefox でも『MFSA 2009-25』で URL 偽装の問題に対応している。Mozilla によれば、不正な Unicode 文字が国際化ドメイン名 (IDN) の一部に用いられると、URL を偽装される可能性があったという。この問題の重要度は、4段階中いちばん下の「低」だ。

また、Cookie の問題も Firefox 3.0.11 で修正された。今回の修正により、攻撃者は許可なくユーザーのブラウザの Cookie を読み取ることができなくなった。『MFSA 2009-26』で説明されているように、この攻撃では、ユーザーが悪意のあるファイルをダウンロードするように仕向けられ、その結果ブラウザから任意の Cookie を読み取られてしまう可能性があった。この問題は、重要度が上から3番目の「中」となっている。

そのほか、Firefox の SSL に関する複雑な問題にも『MFSA 2009-27』で対応した。この脆弱性が攻撃者に利用されると、プロキシ サーバーを使って暗号化接続を妨害される可能性があったという。重要度は、上から2番目の「高」だ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール