Mozilla Japanは22日、Firefoxの最新版「3.6.16」と「3.5.18」を公開した。同時にFirefox「4.0」も正式にリリースした。
今回のセキュリティアップデートでは、デジタル証明書ブラックリストの更新が行われた。重要度は、4段階の上から2番目の「高」とされている。
デジタル証明書は、Firefoxのリリースノートでは「HTTPS 証明書」と記述されており、一般的には「セキュリティ証明書」「サーバ証明書」「SSL証明書」「HTTPS証明書」などとも呼ばれている。URLが「https:」で始まる暗号化通信(SSL: Secure SocketsLayer)を行う際に使用されるもので、ある証明機関(認証局)が「このサーバーは確かにこのドメインのものです」ということを証明する、サーバの身分証明書のことである。
Mozilla によると、正規の認証機関から複数の不正なSSL 証明書が発行されたとの知らせを受けたという。不正な証明書が悪用されると、正規のサイトになりすまして、フィッシングや中間者攻撃が行われる可能性がある。そのため、不正な証明書ブラックリストに追加し、自動的にブロックするよう対応した。
同時に正式にリリースされたたFirefox「4.0」でも、この脆弱性は解消されている。
「3.6.16」と「3.5.18」はいずれも、自動アップデート機能を通じて配布されているほか、Mozilla JapanのWebサイトや、[ヘルプ]メニューの[ソフトウェアの更新を確認]でも入手することができる。
Firefox「4.0」は、Firefox 「3.6.16 」または 「3.5.18」 へ更新後、再度、[ヘルプ]メニューの[ソフトウェアの更新を確認]でアップグレードするか、Mozilla JapanのWebサイトからダウンロードできる。
なお、Firefox「3.5」のサポートは、昨年8月に終了を予定していたもので、現在の延長サポートは予告なく終了する可能性がある。また、Firefox「3.6」のサポートは Firefox「4.0」の公開から 6 か月後に終了するとしているので、注意されたい。
(2011/03/24 ネットセキュリティニュース)
【関連URL:Mozilla Japan】
●Firefox 3.6
・リリースノート
http://mozilla.jp/firefox/3.6.16/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.16
●Firefox 3.5
・リリースノート
http://mozilla.jp/firefox/3.5.18/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.18
●Firefox4
・リリースノート
http://mozilla.jp/firefox/4.0/releasenotes/
・ダウンロード
http://mozilla.jp/firefox/download/