「Firefox 1.0.5」で修正された12件の脆弱性のうちの一部が「Mozilla」や「Thunderbird」にも存在することがわかった。
Mozillaで該当するのは、ベースオブジェクトの不正なクローンがより高度な特権でコードを実行できる問題(MFSA 2005-56)、インストールメソッドのコールバック関数が別のサイトに遷移した際に適切にクリアされないために、攻撃者のサイトから任意のスクリプトコードを実行されてしまう問題(MFSA 2005-48)、JavaScriptを無効にしている場合でもXBLコントロールに含まれるスクリプトが実行される問題(MFSA 2005-46)など全部で9件。危険度が4段階中で最も高い“Critical”のものが1件、次に高い“High”のものが3件含まれている。
なお、MFSA 2005-48については、Firefoxでは危険度が“Low”だったが、Mozillaにおいては“High”となっている。これは、Firefoxのデフォルト設定では「addons.mozilla.org」だけがこのインストールダイアログを呼び出せるようになっているのに対して、Mozillaのデフォルト設定ではどのサイトからでもインストールダイアログを表示してこの脆弱性を利用できるためだという。
一方、Thunderbirdで該当するのは、上記MFSA 2005-46の1件のみだ。
Mozilla Foundationでは、これらの脆弱性を修正した最新バージョンの「Mozilla 1.7.9」を近く公開する予定だ。これに先立ち、現在Release Candidates版が公開されている。一方、Thunderbirdについては脆弱性を修正した「Thunderbird 1.0.5」を公開した。ただし、いずれも今のところ英語版のみだ。Windows XP/2000/NT 4.0/Me/98SE/98、Mac OS X、Linuxに対応する。
関連情報
■URL
Mozilla Foundationのセキュリティアドバイザリ
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#Mozilla
「Thunderbird 1.0.5」のリリースノート(英文)
http://www.mozilla.org/products/thunderbird/releases/1.0.5-release-notes.html
■関連記事
・ Firefox 1.0.5のWindows版、ダイアログボックスの脆弱性など12件を修正(2005/07/13)
( 永沢 茂 )
2005/07/14 16:55
- ページの先頭へ-
|