Internet Watch logo
記事検索
最新ニュース

MozillaやThunderbirdにもFirefoxと同様の脆弱性、修正版を提供へ


 「Firefox 1.0.5」で修正された12件の脆弱性のうちの一部が「Mozilla」や「Thunderbird」にも存在することがわかった。

 Mozillaで該当するのは、ベースオブジェクトの不正なクローンがより高度な特権でコードを実行できる問題(MFSA 2005-56)、インストールメソッドのコールバック関数が別のサイトに遷移した際に適切にクリアされないために、攻撃者のサイトから任意のスクリプトコードを実行されてしまう問題(MFSA 2005-48)、JavaScriptを無効にしている場合でもXBLコントロールに含まれるスクリプトが実行される問題(MFSA 2005-46)など全部で9件。危険度が4段階中で最も高い“Critical”のものが1件、次に高い“High”のものが3件含まれている。

 なお、MFSA 2005-48については、Firefoxでは危険度が“Low”だったが、Mozillaにおいては“High”となっている。これは、Firefoxのデフォルト設定では「addons.mozilla.org」だけがこのインストールダイアログを呼び出せるようになっているのに対して、Mozillaのデフォルト設定ではどのサイトからでもインストールダイアログを表示してこの脆弱性を利用できるためだという。

 一方、Thunderbirdで該当するのは、上記MFSA 2005-46の1件のみだ。

 Mozilla Foundationでは、これらの脆弱性を修正した最新バージョンの「Mozilla 1.7.9」を近く公開する予定だ。これに先立ち、現在Release Candidates版が公開されている。一方、Thunderbirdについては脆弱性を修正した「Thunderbird 1.0.5」を公開した。ただし、いずれも今のところ英語版のみだ。Windows XP/2000/NT 4.0/Me/98SE/98、Mac OS X、Linuxに対応する。


関連情報

URL
  Mozilla Foundationのセキュリティアドバイザリ
  http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#Mozilla
  「Thunderbird 1.0.5」のリリースノート(英文)
  http://www.mozilla.org/products/thunderbird/releases/1.0.5-release-notes.html

関連記事
Firefox 1.0.5のWindows版、ダイアログボックスの脆弱性など12件を修正(2005/07/13)


( 永沢 茂 )
2005/07/14 16:55

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.