28日に公開されたFirefoxの最新版「7.0」と「3.6.23」で修正された、脆弱性の内容が判明した。
Firefox 7.0では、重要度が4段階中「最高」の脆弱性6件と、上から3番目の「中」2件の計8件を修正。「最高」の脆弱性には、コード実行につながるおそれがあるメモリーがらみの問題や、ユーザーにEnterキーを押しっぱなしにさせることにより、ダウンロードファイルを「開く」アクションや、アドオンのインストールを強制できる問題が解消されている。
Firefox 3.6.23では、「最高」3件、「高」1件、「中」1件の計5件の脆弱性が修正された。3.6固有の脆弱性は、Firefox 4.0で交換される前の正規表現エンジンで起きる整数オーバーフローの問題(重要度:最高)と、Firefox 6.0で修正されたプラグインを騙して悪意のあるスクリプトの混入が可能な問題(重要度:高)の2件。
■一部の環境でアドオンが消えてしまう問題
Mozilla Japanは29日、公開したFirefox/Thunderbirdの最新版にアップデートすると、一部の環境でアドオンが消えてしまう問題が発生しているとして、最新版の自動更新を一時中止した。本日深夜に修正版を公開し、自動更新を再開する予定。
この問題は、アップデート後に互換性のないアドオンが無効化されるものとは別の問題で、一部またはすべてのアドオンがアドオンマネージャーから消えてしまう現象が確認されているという。消えてしまったアドオンと関連データは、実際には削除されずに残っており、下記「Add-on Recovery Tool」のページのツールをインストールすることにより、全てのアドオンを元に戻すことができる。
(2011/09/28 ネットセキュリティニュース)
【関連URL】
・Firefox 7.0 リリースノート
http://mozilla.jp/firefox/7.0/releasenotes/
・Firefox セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox7
・Firefox 3.6.23 リリースノート
http://mozilla.jp/firefox/3.6.23/releasenotes/
・Firefox 3.6 セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.23
・Thunderbird 7.0 リリースノート
http://mozilla.jp/thunderbird/7.0/releasenotes/
・Thunderbird セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird7
・Thunderbird 3.1.15 リリースノート
http://mozilla.jp/thunderbird/3.1.15/releasenotes/
Thunderbird 3.1 セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.15
・Firefox/Thunderbird の更新後に一部アドオンが消えてしまう問題
http://mozilla.jp/blog/entry/7314/
・Firefox 7 への更新後にアドオンが消えてしまう
http://support.mozilla.com/ja/kb/add-ons-hidden-after-updating-firefox-7
・Add-on Recovery Tool
https://addons.mozilla.org/ja/firefox/addon/fx7-recovery/
【関連記事:ネットセキュリティニュース】
・モジラ、複数の脆弱性を修正した「Firefox 7.0/3.6.23」を公開(2011/09/28)