モジラは7日、Webブラウザ「Firefox」の最新版「39.0.3」を公開した。対象となるのは、Windows、Mac、Linux。法人向けの延長サポート版(ESR)「38.1.1」も公開されている。
最新版では、Firefoxが搭載しているPDFビュアーが、サイトをまたがってスクリプトを実行してしまう可能性のある問題1件が修正されている。
Webブラウザやプラグインは、閲覧中のページなどのコンテンツの配信元を識別し、コンテンツ内の操作が、他のサイトに影響しないように制御している。スクリプトを使って別のサイトを操作したり、別のサイトのデータを読み書きしたりすることが、できないようになっているのだ。今回修正された脆弱性は、こうした制限を超えて操作を可能にしてしまうもので、アドバイザリによると、ローカルファイルを読み取り、盗み出すのに悪用される恐れがあったという。モジラは、この脆弱性を悪用する攻撃コードが発見されたとの報告を受けているとしており、速やかなアップデートが望まれる。
それぞれの最新版は自動更新機能を通じて配布されているほか、手動で更新することもできる。
Windowsでは、メニューボタン「≡」をクリック→下段のヘルプボタン「?」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。
自動や手動で更新した最新版は、ブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意したい。
(2015/08/07 ネットセキュリティニュース)
【関連URL】
MSFA2015-78:PDFリーダーを通じた同一配信元違反とローカルファイル漏えい(Mozilla Japan)
http://www.mozilla-japan.org/security/announce/2015/mfsa2015-78.html