Mozilla Japanは16日、深刻な脆弱性を修正したFirefox「3.0.5」を公開した。また同日、Firefox「2.0.0.19」も公開したが、Windows版の「2.0.0.19」のみ脆弱性1件の修正を含まない状態でリリースしてしまったとし、18日、改めてすべてのプラットフォームを対象に「2.0.0.20」を公開した。Firefox 2のアップデートは今回が最後。
「3.0.5」では、セッション復元機能におけるXSS(クロスサイトスクリプティング)の脆弱性、XBLバインディングやXPCNativeWrappersをめぐるXSSとJavaScript特権昇格の脆弱性、メモリ破壊の形跡があるクラッシュに結びつくブラウザエンジンの複数のバグなど、8件の問題が修正された。上記3件は、悪用されると任意のコードまたはJavaScriptを実行されるおそれがあり、重要度が「最高」とされている。
「2.0.0.20/2.0.0.19」では、「3.0.5」と共通する7件を含め9件の脆弱性が修正され、そのうち4件の重要度が「最高」。全9件のうち、重要度が「最高」の脆弱性を含む7件は同じエンジンを使用するThunderbird 2にも影響があり、準備が整い次第「Thunderbird 2.0.0.19」も公開される予定だ。
Firefox「3.0.5」と「2.0.0.20」は、Mozilla Japanのウェブサイト、[ヘルプ]メニューの[ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。
なお冒頭でも触れたが、Firefox 2のアップデートは今回が最後となり、今後、セキュリティや安定性に関する更新は行われない。また「2.0.0.19」から、フィッシング詐欺警告機能が利用できなくなっている。Mozillaでは、すべてのユーザにFirefox 3へのアップグレードを推奨している。
(2008/12/19 ネットセキュリティニュース)
■Firefox 3.0.5<br>
・ダウンロード
http://mozilla.jp/firefox/all
・リリースノート
http://mozilla.jp/firefox/3.0.5/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html
■Firefox 2.0.0.20
・ダウンロード
http://mozilla.jp/firefox/all-older
・リリースノート
http://mozilla.jp/firefox/2.0.0.20/releasenotes/
http://mozilla.jp/firefox/2.0.0.19/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox20.html