Mozilla Japanは27日、2件の深刻な脆弱性を修正したFirefoxの最新版「3.0.8」を公開した。Mozilla Japanのウェブサイト、[ヘルプ] メニューの [ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。
今回修正されたのは、XML(eXtensible Mark-up Language)で記述するスタイルシートXSL(eXtensible Stylesheet Language)の変換時にメモリー破壊が起きる問題と、ユーザーインターフェースを記述するXLU(XML User Interface Language)の処理で廃棄オブジェクトにアクセスしてしまう問題。いずれも、任意のコードが実行されるおそれがあり、Mozilla Japanでは重要度「最高」の脆弱性として利用者にアップデートを促している。
後者のXLUの脆弱性は、先頃カナダで開催されたセキュリティカンファレンス「CanSecWest 2009」のハッキングコンテスト「Pwn2Own」で、システムの侵入に使われ入賞したもの。コンテストの規定で修正前の詳細情報は未公表だったが、今後悪用される可能性が高い。前者のXSLT(XSL Transformations)の脆弱性については、すでにクラッシュさせる実証コードがインターネット上で公開されていた。
(2009/03/30 ネットセキュリティニュース)
■Firefox(Mozilla Japan)
http://mozilla.jp/firefox/
■Firefox 3.0.8 リリースノート(Mozilla Japan)
http://mozilla.jp/firefox/3.0.8/releasenotes/
■Firefox 3.0 セキュリティアドバイザリ(Mozilla Japan)
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.8