Firefox 1.0.7がリリース--IDN処理問題に対応

　Mozilla Foundationは、複数の深刻なセキュリティ脆弱性を修復するために、「Firefox」をアップデートした。この脆弱性には、先ごろ公開された、攻撃者がPC上で悪質なソフトウェアを密かに実行できるというバグも含まれている。

　Mozilla関係者は、Firefox 1.0.7を米国時間20日遅くにリリースしたと話している。また、同脆弱性の影響を受ける「Mozilla」ウェブブラウザやその他のツールから構成される「Mozilla Suite」も、新たなバージョン1.7.12が今週末にまでに発表されるという。

　Mozillaは先週、複数の脆弱性を修復したFirefoxの新版を間もなくリリースすると述べており、今回のアップデートは事前に予定されていた。

　Mozillaの製品部門を率いるChris Beardは同21日、「すべてのユーザーに、最新版へアップグレードすることを強く勧める」と話した。このアップデートで修復された脆弱性を悪用した攻撃は、まだ公には現れていないとBeardは述べている。

　今回のアップデートの主な目的は、2週間前に公表され、FirefoxおよびMozillaブラウザのすべてのバージョンに影響を及ぼすとされた脆弱性に、パッチを適用することだという。この脆弱性は、同アプリケーションが国際化ドメイン名（International Domain Names：IDN）を処理する際の過程に存在している。ハッカーは、脆弱なコンピュータ上でのコードの実行をリモートから可能にするこの欠陥を悪用しようと、すでに活動を始めている。IDNとは各国独自の言語を使うドメイン名のことを指す。

　同パッチを適用すると、米国時間20日に公開された、MozillaおよびFirefoxのLinuxバージョンにのみ存在する問題も解決できる。French Security Incident Response Team（FrSirt）によれば、これは、両ブラウザがほかのアプリケーションから取得したウェブアドレスを扱う方法に存在するセキュリティホールで、悪用されると侵入者にPCのコントロールを奪われるおそれがあるという。

　Firefox 1.0.7はMozillaのウェブサイトからダウンロードできるが、数日以内にはFirefoxのアップデート機能を介しても配布される予定だと、Beardは話している。この場合、新たなブラウザ全部をダウンロードしなければならない。Beardは、今年末までにリリースが予定されている次期Firefox1.5では、パッチ機能が改良されており、問題を修復する部分だけをダウンロードすれば良くなると述べた。