Mozillaは16日、「Firefox 3.0.1」をリリースした。危険度の高い3件の脆弱性を修正したほか、安定性に関わる問題の修正などが行われており、Mozillaではユーザーに対してアップデートを推奨している。
Firefox 3.0.1で修正した脆弱性は、「CSS参照カウンタのオーバーフローによるリモートコード実行(MFSA2008-34)」「Firefoxが起動していないときに、コマンドラインURLによって複数のタブが開かれる(MFSA2008-35)」「Mac OS X上での悪質なGIFファイルによるクラッシュ(MFSA2008-36)」の3件。
脆弱性の重要度は、3件とも4段階で最も高い“最高”とされている。また、MFSA2008-34とMFSA2008-35の2件についてはFirefox 2にも影響があり、既に修正済みの「Firefox 2.0.0.16」がリリースされている。
MFSA2008-34は、CSS参照カウンタのオーバーフローを引き起こすことで、任意のコードを実行させることが可能になる脆弱性。この脆弱性は、メールソフトの「Thunderbird」にも影響があり、「Thunderbird 2.0.0.16」で修正されるとされているが、現時点では同バージョンはリリースされていない。ただし、Thunderbirdのデフォルト設定のまま、メッセージのプレビューでJavaScriptを無効にしていれば、脆弱性の影響は受けないとしている。
MFSA2008-35は、パイプ(“|”)シンボルを含むコマンドラインURIをFirefoxに渡すことで、複数のタブが開かれる脆弱性。この脆弱性により、別のアプリケーションからFirefoxを悪用することが可能になり、Safariの「じゅうたん爆撃」脆弱性などと組み合わせた攻撃が指摘されていた。
MFSA2008-36は、Mac OS X上でのGIFファイルの描画処理に関する脆弱性。この脆弱性により、特別に細工されたGIFファイルを読み込むことで、ブラウザをクラッシュさせることが可能で、潜在的には任意のコードを実行することが可能とされている。
このほか、Firefox 3.0.1では、安定性に関わる問題の修正、フィッシング詐欺・マルウェア対策機能のデータベースが初回起動時に更新されない問題、特定の状況下でSSL証明書例外リストが正しく保存されない問題などを修正している。
関連情報
■URL
Firefox
http://mozilla.jp/firefox/
Firefox 3.0.1リリースノート
http://mozilla.jp/firefox/3.0.1/releasenotes/
■関連記事
・ 「Firefox 2.0.0.16」リリース、2件の脆弱性を修正(2008/07/16)
・ 「Firefox 3」公開5時間後に早くも脆弱性報告、米TippingPoint(2008/06/19)
・ 「Firefox 3」公開、ダウンロード数は増加もサイトの混雑が続く(2008/06/18)
( 三柳英樹 )
2008/07/17 12:33
- ページの先頭へ-
|