Mozilla Japanは23日、コード実行につながる深刻な脆弱性を修正した「Firefox 3.6.2」を公開したと発表した。Mozilla JapanのWebサイト、[ヘルプ]メニューの[ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。
今回修正されたのは、2月23日付けの編集部記事「アドビ製品とFirefoxに未修整の脆弱性~コード実行のおそれ」でお伝えした脆弱性など。この問題は、Firefox 3.6で新たに導入したWOFF(Web Open Font Format)形式のフォントファイルの取り扱いで整数オーバーフローが発生するというもの。細工されたフォントファイルを展開するとメモリ破壊が起き、任意のコードを実行されるおそれがあった。
このゼロデイ脆弱性に対応した最新版は、当初は30日の公開とアナウンスされていたが、スケジュールを前倒ししての緊急リリースとなっており、脆弱性の深刻さがうかがえる。最新版では、このほかにもセキュリティ上の問題がいくつか修正されており、Mozilla Japanはすべてのユーザーに、最新版への更新を強く推奨している。
(ネットセキュリティニュース2010/03/24)
■Firefox 3.6.2 リリースノート(Mozilla Japan)
http://mozilla.jp/firefox/3.6.2/releasenotes/
■Firefox 3.6 セキュリティアドバイザリ(Mozilla Japan)
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.2