Mozilla Japanは28日、コード実行のおそれがある重大な脆弱性を修正した、Firefoxの最新版「3.6.12」を公開した。
修正された脆弱性は、JavaScriptを使って特定の操作を行うと、ヒープベースのバッファオーバーフローが発生するというもの。ノルウェーのTelenor SOCが25日、顧客ネットワークに対する不正侵入の形跡を調査中に発見したもので、Windows XP上のFirefox 3.6の特定バージョンを狙った脆弱攻撃が行われていたという。
この脆弱性自体は、すべてのプラットホームのFirefox 3.6/3.5、Thunderbird 3.1/3.0に共通するもので、Windows版、Mac版、Linux版それぞれの最新版がリリースされている。最新版は、自動アップデート機能を通じて配布されているほか、Mozilla JapanのWebサイト、[ヘルプ]メニューの[ソフトウェアの更新を確認]でも入手することができる。
Telenor SOCの報告などによると、ノルウェー・ノーベル委員会が運営するノーベル平和賞の公式サイトが、先週末に台湾からの不正アクセスを受けて改ざんされた。改ざんされた同サイトには、閲覧者をウイルスに感染させるためのiFrameタグが埋め込まれた。同サイトを閲覧すると、見えないiFrame内で台湾の攻撃サーバーにアクセスし、不正なJavaScriptが実行された。閲覧者のブラウザがWindows XP上のFirefox 3.6.8~3.6.11の場合にのみ脆弱性攻撃が行われ、システムにバックドアを仕掛けるトロイの木馬がインストールされたという。
(2010/10/28 ネットセキュリティニュース)
■リリースノート(Mozilla Japan)
・Firefox 3.6.12
http://mozilla.jp/firefox/3.6.12/releasenotes/
・Firefox 3.6.12
http://mozilla.jp/firefox/3.6.12/releasenotes/
・Firefox 3.5.15
http://mozilla.jp/firefox/3.5.15/releasenotes/
・Thunderbird 3.1.6
http://mozilla.jp/thunderbird/3.1.6/releasenotes/
・Thunderbird 3.0.10
http://mozilla.jp/thunderbird/3.0.10/releasenotes/
■MFSA 2010-73:document.write と DOM 挿入の組み合わせによるヒープバッファオーバーフロー(Mozilla Japan)
http://www.mozilla-japan.org/security/announce/2010/mfsa2010-73.html
■Firefox 3.5 と 3.6 の重大な脆弱性について(Mozilla Japan ブログ)
http://mozilla.jp/blog/entry/6027/
■nobelpeaceprize.org kompromittert[ノルウェー語](TSOC-blogg)
http://telenorsoc.blogspot.com/2010/10/nobelpeaceprizeorg-kompromittert.html