MozillaもMicrosoftとOperaのブラウザに対するパッチ公開の流れに同調した。
オープンソース組織であるMozillaは、Firefox 2系統の最後のセキュリティパッチと、一連のセキュリティホールを修正するFirefox 3の新バージョンを公開した。新バージョンでは、リモートからのコード実行攻撃、ブラウザのクラッシュ、情報漏洩などの問題に繋がる可能性があるセキュリティホールを修正している。
(参照:Firefox 2.0に迫る「寿命」)
Mozillaはこれらのセキュリティホールの詳細に関して、全部で8件のアドバイザリをリリースしている。このうち3件が重要度が「最高」とされており、これは悪用された場合、「任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの」ものであることを意味している。
これらのアドバイザリのうち1件は、重要度が「高」とされており、これはハッカーに利用された場合、「ユーザが訪れた他のサイトから機密データを集めたり、それらのサイトにデータやコードを注入することが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの」を意味している。
(参照:‘Extremely severe’ vulnerabilities in Opera browser)
詳細は以下の通りだ。
- MFSA 2008-69 セッション復元機能における XSS 脆弱性
- MFSA 2008-68 XSS と JavaScript 特権昇格
- MFSA 2008-67 エスケープされた NULL 文字が CSS パーサによって無視される
- MFSA 2008-66 先行空白と制御文字を含む URL のパースエラー
- MFSA 2008-65 スクリプトリダイレクトエラーメッセージを通じたクロスドメインデータ読み取り
- MFSA 2008-64 XMLHttpRequest 302 レスポンスの開示
- MFSA 2008-63 XUL の persist 属性を通じたユーザトラッキング
- MFSA 2008-60 メモリ破壊の形跡があるクラッシュ (rv:1.9.0.5/1.8.1.19)
これらのバグの一部はFirefox 3にしか影響がなく、すべてのFirefoxユーザーはブラウザの自動修正メカニズムを使ってアップデートを適用することが重要だ。
以前報じたとおり、Mozillaは以後Firefox 2に関しこれ以上のセキュリティや安定性に関するアップデートは行わない予定だ。もしまだ古いバージョンを使っているのであれば、Firefox 2ではGoogleと協力して提供されているアンチフィッシング保護機能も利用できないことにも注意して欲しい。
(参照:As attacks escalate, MS readies emergency IE patch)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ