【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[世界]
モジラ、Firefox 2.0の最新版をリリース
危険度「最高」を含む10の脆弱性を修正
(2008年03月27日)
米国Mozillaは3月25日、同社のWebブラウザ「Firefox 2.0」の最新版(Firefox 2.0.0.13)をリリースした。今回のリリースはセキュリティの向上を目的としたもので、2件の危険度「最高(Critical)」を含む、6件のセキュリティ・アドバイザリ(10の修正パッチ)が含まれている。
6件のセキュリティ・アドバイザリの内訳は、「最高」が2件、「高(High)」が2件、「中(Moderate)」が1件、「低(Low)」が1件となっている。
「最高」にランクされたセキュリティ・アドバイザリは、JavaScriptエンジンをクラッシュさせる攻撃と、JavaScriptの実行権限を昇格させる攻撃に関するものである。Mozillaは、「これらの脆弱性を悪用すれば、リモートから任意コードを実行させることも可能になる」と説明している。
またFirefox 2.0.0.13では、個人情報の漏洩やスプーフィング(成り済まし)、クロスサイト・スクリプティングを引き起こす脆弱性も修正されている。
「高」にランクされたセキュリティ・アドバイザリは、「LiveConnect」に関するものである。LiveConnectは、JavaアプレットからWebページに組み込まれたJavaScriptを呼び出したり、JavaScriptがJavaランタイム・ライブラリにアクセスしたりできるようにするための機能だ。Mozillaによると、同機能はFirefoxだけでなく、米国AppleのWebブラウザ「Safari 3」でも使用されているという。なお、米国Sun Microsystemsからも、LiveConnectの脆弱性を修正するパッチが配布されている。
一方、同社の電子メール・クライアント「Thunderbird」にも、危険度「最高」にランクされる脆弱性が発見されている。しかし、これらの脆弱性を修正するパッチの配布や、脆弱性を修正した最新版「Thunderbird 2.0.0.13」をリリースするめどは、今のところ立っていないという。
Thunderbirdを統括する米国Mozilla Messagingの責任者デビッド・アッシャー(David Ascher)氏は、「Thunderbirdの最新版は、Firefox 2.0.0.13のリリース後、数週間以内に行われる予定だ」と説明している。
Ascher氏は先週、自身のブログで、「ThunderbirdをFirefoxと同時にアップデートできないのは、Thunderbirdのリリース・プロセスが完全に自動化されていないことや、適切な人員が不足していることが原因だ」と記した。
「Thunderbirdの修正パッチが準備できるまで、Firefox最新版のリリースを延期するという選択肢もあった。しかし、これでは1億5,000万人以上の(Firefox)ユーザーを危険にさらすことになる。われわれはできるだけ早くFirefoxのアップデート版をリリースし、追ってThunderbirdのアップデート版もリリースする手段がベストだという結論に達した」(Ascher氏)
(Gregg Keizer/Computerworld米国版)
- 【UTMアプライアンスの選び方】Wiiが当たるアンケート実施中!
- ビジネス・コミュニケーション進化論 5月27日開催 登録受付中!
- 【CIO情報戦略会議2008】6月5日(木)開催!!事前登録受付中
- 【1年後に差がつく―IT戦略集中講座開催リポート―】はこちら
[米国]モジラ、「Firefox 3.0」のベータ4をリリース
配布対象はテスターのみ。「一般ユーザーは利用しないでほしい」とモジラ
[米国]Firefoxに情報漏洩の脆弱性――MozillaのCSOが認める
「危険度は低いが、注意は必要」とセキュリティ研究者らが警告
[米国]Mozilla、「Firefox 3.0」のベータ3をリリース
ベータ1からの変更は1,300件以上。メモリ・リークの脆弱性も修正
[欧州]【XiTi Monitor調査】Firefox、欧州で28%の市場シェアを獲得
IEの牙城をジワジワと浸食?
[米国]モジラのCEO、Windows版「Apple Software Update」の方針を痛烈批判
「iTunesとの“抱き合わせ”のようなSafariの配布は、ユーザーとの信頼関係を損なう」
