【 ここから本文 】

セキュリティ


ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示


[世界]
モジラ、Firefox 2.0の最新版をリリース

危険度「最高」を含む10の脆弱性を修正

(2008年03月27日)

 米国Mozillaは3月25日、同社のWebブラウザ「Firefox 2.0」の最新版(Firefox 2.0.0.13)をリリースした。今回のリリースはセキュリティの向上を目的としたもので、2件の危険度「最高(Critical)」を含む、6件のセキュリティ・アドバイザリ(10の修正パッチ)が含まれている。

 6件のセキュリティ・アドバイザリの内訳は、「最高」が2件、「高(High)」が2件、「中(Moderate)」が1件、「低(Low)」が1件となっている。

 「最高」にランクされたセキュリティ・アドバイザリは、JavaScriptエンジンをクラッシュさせる攻撃と、JavaScriptの実行権限を昇格させる攻撃に関するものである。Mozillaは、「これらの脆弱性を悪用すれば、リモートから任意コードを実行させることも可能になる」と説明している。

 またFirefox 2.0.0.13では、個人情報の漏洩やスプーフィング(成り済まし)、クロスサイト・スクリプティングを引き起こす脆弱性も修正されている。

 「高」にランクされたセキュリティ・アドバイザリは、「LiveConnect」に関するものである。LiveConnectは、JavaアプレットからWebページに組み込まれたJavaScriptを呼び出したり、JavaScriptがJavaランタイム・ライブラリにアクセスしたりできるようにするための機能だ。Mozillaによると、同機能はFirefoxだけでなく、米国AppleのWebブラウザ「Safari 3」でも使用されているという。なお、米国Sun Microsystemsからも、LiveConnectの脆弱性を修正するパッチが配布されている。

 一方、同社の電子メール・クライアント「Thunderbird」にも、危険度「最高」にランクされる脆弱性が発見されている。しかし、これらの脆弱性を修正するパッチの配布や、脆弱性を修正した最新版「Thunderbird 2.0.0.13」をリリースするめどは、今のところ立っていないという。

 Thunderbirdを統括する米国Mozilla Messagingの責任者デビッド・アッシャー(David Ascher)氏は、「Thunderbirdの最新版は、Firefox 2.0.0.13のリリース後、数週間以内に行われる予定だ」と説明している。

 Ascher氏は先週、自身のブログで、「ThunderbirdをFirefoxと同時にアップデートできないのは、Thunderbirdのリリース・プロセスが完全に自動化されていないことや、適切な人員が不足していることが原因だ」と記した。

 「Thunderbirdの修正パッチが準備できるまで、Firefox最新版のリリースを延期するという選択肢もあった。しかし、これでは1億5,000万人以上の(Firefox)ユーザーを危険にさらすことになる。われわれはできるだけ早くFirefoxのアップデート版をリリースし、追ってThunderbirdのアップデート版もリリースする手段がベストだという結論に達した」(Ascher氏)

(Gregg Keizer/Computerworld米国版)






関連記事

▲ページの先頭へ戻る


Insight

SSCPの知識分野、認定試験、認定要件

セキュリティ専門家向けのCISSP資格と同じ点、異なる点

Insight 記事一覧





key Person

「日本企業はUTMというコンセプトに縛られすぎている」――米国パロアルトCEO

「次世代ファイアウォール」の旗手が語るクラウド時代のネットワーク・セキュリティ

key Person記事一覧




Weekly Ranking

集計期間:03/11〜03/17




Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国