記事登録
2008年07月03日(木) 14時53分

Mozilla、セキュリティ更新版『Firefox 2.0.0.15』をリリースjapan.internet.com

Mozilla Foundation が最新 Web ブラウザ『Firefox 3.0』をリリースして2週間経つが、Firefox ユーザーの大半はまだ『Firefox 2.x』を使っている。Mozilla は2日、合計12件の脆弱性を修正したセキュリティ更新版『Firefox 2.0.0.15』をリリースした。

今回、Firefox 3.0 の更新は行なわなかったが、来週にも『Firefox 3.0.1』が登場する予定だ。

Firefox 2.0.0.15 が対応した脆弱性のうち、深刻度が最大の問題の1つはメモリ破壊の形跡があるクラッシュ問題で、セキュリティ勧告『MFSA 2008-21』で触れている。Mozilla が更新を行なう際、必ずと言っていいほど、この種のメモリ破壊に関係する問題の修正が入る。これらの問題は、Mozilla がクラッシュ報告を調べ、セキュリティ上のリスクに繋がる可能性があると判断したものだ。

ほかにも深刻度が高め (4段階中上から2番目の「高」) の脆弱性として目を引くものに、クロスサイト スクリプティング (XSS) の問題がある。

同脆弱性に関するセキュリティ勧告『MSFA 2008-22』には、次のような記述がある。「あるドキュメント内のスクリプトを、別のドキュメントのコンテキストで実行しかねない一連の脆弱性について、Mozilla に貢献している moz_bug_r_a4 氏から報告があった。攻撃者はこれらの脆弱性を悪用し、同一生成元ポリシーに反して、任意サイトに対する XSS 攻撃を実行し得る。その結果、被害サイト上のユーザーの機密情報について、漏洩や改ざんの恐れがある」

深刻度が「高」となっている別の脆弱性で、非常に気にかかるものは、ファイルのアップロードに関係する脆弱性だ。この問題に関するセキュリティ勧告『MSFA 2008-27』によれば、同脆弱性は、悪意のコンテンツがブラウザを通じて、ローカルのファイルを遠隔サーバーへ強制的にアップロードさせかねないという。したがって同脆弱性は、攻撃対象のコンピュータにおいて、既知のディレクトリに存在するファイルを盗み出す攻撃に悪用される恐れがある。

なお Mozilla は、今後6か月間以上、つまり2008年末に予定している『Firefox 3.5』のリリースまでは、Firefox 2.x のサポートを継続すると明言している。

【関連記事】
シェアトップも視野に入れ、『Firefox 3』正式版登場
Apple、『QuickTime 7.5』をリリースし5件の脆弱性に対応
Mozilla、「Firefox 3 Beta 5」を公開
Oracle、定例セキュリティ更新で41件の修正
Sun、『Java SE』の企業向けサブスクリプション モデルを発表

http://headlines.yahoo.co.jp/hl?a=20080703-00000015-inet-secu

最新のニュース記事一覧
お問い合わせ