Internet Watch logo
記事検索
最新ニュース

「Thunderbird 2.0.0.16」公開、8件の脆弱性を修正


 Mozillaは23日、メールソフト「Thunderbird」の最新版となる「Thunderbird 2.0.0.16」を公開した。8件の脆弱性を修正しており、Mozillaではアップデートを推奨している。Windows版、Mac OS X版、Linux版がそれぞれダウンロードできる。

 Thunderbird 2.0.0.16では、特定の状況下でメモリ破壊の形跡が見られるクラッシュのバグを修正。このバグの一部については、特定の条件が揃えば任意のコード実行に利用される恐れがあるという。Mozillaでは、この脆弱性のThunderbirdにおける危険度が4段階で下から2番目の「中」と判定している。

 危険度が「中」の脆弱性はこのほか、「CSS参照カウンタのオーバーフローによるリモートコード実行」「ブロックリフローにおけるクラッシュとリモートコード実行」「自己署名証明書の代替名を利用したサーバ偽装」「mozIJSSubScriptLoader.loadSubScript()による任意のコード実行」「キャッシュファイルからのクロームスクリプトの読み込み」がある。

 また、危険度が最も低い「低」では、「不適切な.propertiesファイルによる未初期化メモリの使用」「MIME処理におけるバッファ長のチェック」の脆弱性を修正した。


【追記 15:35】
 なお、これらの脆弱性について説明した個々のセキュリティアドバイザリのページでは、危険度が「最高」となっているものもあるが、これは、「Firefox」など他のアプリケーションにおいて危険度が高いためだ。JavaScriptに起因する脆弱性では、JavaScriptがデフォルトで無効になっているThunderbirdでは危険度がそれよりも低くなる。Thunderbirdにおける危険度は、「Thunderbird 2.0 セキュリティアドバイザリ」のページにある修正済みの脆弱性リストにある色分け表示の通りとなる。

【おわびと訂正 15:20】
 記事初出時、危険度の記述に誤りがありました。おわびして訂正いたします。


関連情報

URL
  Thunderbird 2.0.0.16 リリースノート
  http://mozilla.jp/thunderbird/2.0.0.16/releasenotes/
  Thunderbird 2.0 セキュリティアドバイザリ
  http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird20.html

関連記事
Thunderbirdに未パッチの脆弱性、修正までJavaScript無効を推奨(2008/07/04)
「Firefox 3.0.1」公開、3件の脆弱性を修正(2008/07/17)


( 増田 覚 )
2008/07/24 12:48

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.