Mozillaが旧バージョンの「Firefox」脆弱性5件に対応するパッチを公開したが、セキュリティ企業Secuniaは、Firefoxの最新バージョンに存在するゼロデイ脆弱性について警告している。
Mozillaは米国時間2月17日、「Firefox 3.5.8」と「Firefox 3.0.18」のパッチをリリースした。1月に、「Firefox 3.0」のサポートを終了すると述べていたが、Firefox 3.0.18のパッチはリリースしたわけだ。
セキュリティアドバイザリの中でMozillaは、「Firefox 3.6」ではこれらの脆弱性がすでに修正されていると述べている。Firefox 3.6は1月21日にリリースされた。
Mozillaが修正した5件の脆弱性には、同社が重要度を「最高」と評価した3件の脆弱性も含まれている。これら3件の脆弱性は、メモリ領域不足の処理におけるバグ、「Gecko」レンダリングエンジンの安定性に関するバグ、MozillaのWebワーカー実装でポストメッセージの処理方法におけるバグによるものだという。Webワーカーは、ユーザーインターフェースでの処理負荷を軽減する形でスクリプティングタスクを実行するのに利用される。
これら3件の脆弱性はいずれも、任意のコードを実行してユーザーのシステムを乗っ取るのに悪用される恐れがある、とMozillaは述べている。
残り2件の脆弱性は重要度がそれより低いが、攻撃者による悪意のあるJavaScriptコードの実行を可能にする恐れがある。
Firefox 3.5.8とFirefox 3.0.18のセキュリティアップデートには、Windows版、Mac OS X版、Linux版がある。Mozillaのウェブサイトか、ブラウザに内蔵されたアップデートシステムから入手できる。
これとは別にSecuniaが18日、最新バージョンのFirefox 3.6に存在する未修正のバグについて報告している。Firefox 3.6にはユーザーのシステムで悪意あるコードを実行するのに利用される恐れがあるバグが含まれている、とSecuniaは警告した。
Secuniaによると、このゼロデイ脆弱性はImmunityの侵入テストソフトウェア「Canvas」用アドオンモジュール「VulnDisco Pack」の一部として公開された。VulnDisco Packを開発したIntevydisは問題のバグに関する詳細を明らかにしていないが、Secuniaは脆弱性の深刻度を「非常に緊急」としている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ