モジラ、Firefox 2.0の最新版をリリース
危険度「最高」を含む10の脆弱性を修正米国Mozillaは3月25日、同社のWebブラウザ「Firefox 2.0」の最新版(Firefox 2.0.0.13)をリリースした。今回のリリースはセキュリティの向上を目的としたもので、2件の危険度「最高(Critical)」を含む、6件のセキュリティ・アドバイザリ(10の修正パッチ)が含まれている。
6件のセキュリティ・アドバイザリの内訳は、「最高」が2件、「高(High)」が2件、「中(Moderate)」が1件、「低(Low)」が1件となっている。
「最高」にランクされたセキュリティ・アドバイザリは、JavaScriptエンジンをクラッシュさせる攻撃と、JavaScriptの実行権限を昇格させる攻撃に関するものである。Mozillaは、「これらの脆弱性を悪用すれば、リモートから任意コードを実行させることも可能になる」と説明している。
またFirefox 2.0.0.13では、個人情報の漏洩やスプーフィング(成り済まし)、クロスサイト・スクリプティングを引き起こす脆弱性も修正されている。
「高」にランクされたセキュリティ・アドバイザリは、「LiveConnect」に関するものである。LiveConnectは、JavaアプレットからWebページに組み込まれたJavaScriptを呼び出したり、JavaScriptがJavaランタイム・ライブラリにアクセスしたりできるようにするための機能だ。Mozillaによると、同機能はFirefoxだけでなく、米国AppleのWebブラウザ「Safari 3」でも使用されているという。なお、米国Sun Microsystemsからも、LiveConnectの脆弱性を修正するパッチが配布されている。
一方、同社の電子メール・クライアント「Thunderbird」にも、危険度「最高」にランクされる脆弱性が発見されている。しかし、これらの脆弱性を修正するパッチの配布や、脆弱性を修正した最新版「Thunderbird 2.0.0.13」をリリースするめどは、今のところ立っていないという。
Thunderbirdを統括する米国Mozilla Messagingの責任者デビッド・アッシャー(David Ascher)氏は、「Thunderbirdの最新版は、Firefox 2.0.0.13のリリース後、数週間以内に行われる予定だ」と説明している。
Ascher氏は先週、自身のブログで、「ThunderbirdをFirefoxと同時にアップデートできないのは、Thunderbirdのリリース・プロセスが完全に自動化されていないことや、適切な人員が不足していることが原因だ」と記した。
「Thunderbirdの修正パッチが準備できるまで、Firefox最新版のリリースを延期するという選択肢もあった。しかし、これでは1億5,000万人以上の(Firefox)ユーザーを危険にさらすことになる。われわれはできるだけ早くFirefoxのアップデート版をリリースし、追ってThunderbirdのアップデート版もリリースする手段がベストだという結論に達した」(Ascher氏)
(Gregg Keizer/Computerworld米国版)
