Mozilla Japanは15日、深刻な脆弱性2件を修正したFirefoxの最新版「2.0.0.16」を公開した。また、16日、同じく深刻な脆弱性3件を修正した「3.0.1」を公開した。「2.0.0.16」で修正された脆弱性2件は「3.0.1」にも影響を及ぼすもので、「3.0.1」ではこれに加えてもう1件が修正された形だ。
「2.0.0.16」と「3.0.1」の両方で修正されたのは、「CSS参照カウンタのオーバーフローによりリモートでコードが実行される脆弱性(MFSA 2008-34)」と、「Firefoxが起動していないときに、コマンドラインURLによって複数のタブが開かれる脆弱性(MSFA2008-35)」の2件で、どちらも重要度は「最高」。
このうち「MFSA 2008-34」は、ThunderbirdとSeaMonkeyにも影響する。SeaMonkeyでは「1.1.11」で修正済み。Thunderbirdでは「2.0.0.16」で修正される予定だ。Firefox 3.0については公開の直後から「コード実行が可能な脆弱性」の存在が指摘されていたが、「MFSA 2008-34」がこれに相当する。また「MFSA 2008-35」は、悪用されるとハードディスクから情報を読みとられてしまうおそれがある脆弱性だ。
「3.0.1」のみで修正されたのは、「Mac OS Xで、悪質なGIFァイルによりクラッシュがおきる脆弱性(MFSA2008-36)」。これが悪用されると、潜在的には任意のコードを実行される可能性があるという。
Firefoxの最新版は、Mozilla Japanのウェブサイト、[ヘルプ] メニューの [ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。
なお、Firefox 2についてセキュリティおよび安定性に関する更新が行われるのは、今年の12月中旬まで。Mozillaでは、すべてのユーザにFirefox 3へのアップグレードを強く推奨している。
(2008/07/17 ネットセキュリティニュース)
■Firefox
http://mozilla.jp/firefox/
■リリースノート(Mozilla Japan)
・Firefox 3.0.1
http://mozilla.jp/firefox/3.0.1/releasenotes/
・Firefox 2.0.0.16
http://mozilla.jp/firefox/2.0.0.16/releasenotes/
■Mozilla Foundation セキュリティアドバイザリ(Mozilla Japan)
・Firefox 3.0 セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.1
・Firefox 2.0 セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox20.html