Mozilla Japanは7月31日、2件の脆弱性を修正したFirefoxの最新版「2.0.0.6」を公開した。Mozilla JapanのWebサイト、[ヘルプ] の [ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。Mozilla Japanでは、すべてのユーザーに最新版へのアップデートを推奨している。
今回修正された脆弱性は、外部プログラムにエスケープ(※)されていないURIが渡される問題と、アドオンのクロームによって読み込まれた「about:blank」ウィンドウを通じた特権昇格の問題の2件。
前者は、外部プログラムによってはURIを複数のパラメータとして認識し、コード実行などにつながる危険な処理を行う可能性があり、脆弱性の重要度を最も高い「最高」としている。先々週に公開した「2.0.0.5」では、Firefoxが受け取った場合に任意のスクリプトを実行してしまう問題に対処。今回は、渡してしまう問題が修正されている。
URIのエスケープがらみでは、Windows上でプロトコルハンドラを装い、拡張子の関連付けに使われるファイルタイプハンドラが呼び出せるWindowsの問題も指摘されている。Firefoxは初期設定で外部のプロトコルハンドラを起動する前にダイアログを表示するようになっており、アドバイザリ「MFSA2007-27」ではこの問題の回避策として、信頼できないサイト上でダイアログが表示された場合、特にURLに空白やダブルクオート (") 文字が含まれている場合には、必ずキャンセルするよう呼びかけている。
なお、今回修正された2件の脆弱性はThunderbirdにも影響があり、準備が整い次第「Thunderbird 2.0.0.6」「Thunderbird 1.5.0.13」が公開される予定だ。
(2007/08/01 ネットセキュリティニュース)
■Firefox 2.0.0.6 リリースノート(Mozilla Japan)
http://www.mozilla-japan.org/products/firefox/2.0.0.6/releasenotes/
■Mozilla Foundation セキュリティアドバイザリ(Mozilla Japan)
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#firefox2.0.0.6
■MFSA2007-27:エスケープされていない URI が外部プログラムに渡される(Mozilla Japan)
http://www.mozilla-japan.org/security/announce/2007/mfsa2007-27.html
【関連記事:ネットセキュリティニュース】
・複数の深刻な脆弱性を修正した「Firefox 2.0.0.5」公開(2007/07/19)