米国時間2008年6月17日に,米MozillaはオープンソースWebブラウザの最新版である「Firefox 3」を,日本語版も含めてリリースしました(関連記事:Mozillaが最新版Webブラウザ「Firefox 3」を公開,ダウンロード件数は順調に増加)。これに伴い,ある企業から『リリース当日に早速セキュリティ・ホールが発見されたらしい。システム管理者として従来の「Firefox 2」と最新版の「Firefox 3」のどちらを社内で使わせるべきか,アドバイスしてほしい』と相談を受けました。
Firefox 3.0には新機能として,ブックマークや閲覧履歴からWebページを簡単に見つけられる「スマートロケーションバー」や,簡単にブックマーク,検索,整理可能な「ワンクリックブックマーク」などが実装されました(関連記事1:【最新ブラウザが描く次世代Webの輪郭】目的のサイトを見つけやすく,ブックマークなどの同期も,関連記事2:「Firefox 3」のセキュリティ機能について)。
ただ,システム管理者が一番気にしなければならないのは,最新バージョンの新機能ではありません。前回コラムの「Adobe Reader」の場合と同様に
- 最新バージョンに既知のセキュリティ・ホールは残っていないか
- 最新バージョンの導入時の注意事項はないか
- 従来バージョンは,いつ使用できなくなるのか
といった点の見極めが重要です。
既知のセキュリティ・ホール
まず,「最新バージョンに,既知のセキュリティ・ホールは残っていないか」をチェックしてみましょう。Mozilla Japanが公開するFirefox 3.0のセキュリティ・レポートである「Firefox 3.0 セキュリティアドバイザリ」をチェックしてみます。
現在の最新バージョンは,「Firefox 3.0.1」(7月16日リリース)であり,「Firefox 3.0.1」では,3件の重要度が「最高」のセキュリティ・ホールが修正されたことが分かります。
では,リリース当日に発見されたセキュリティ・ホールは修正されているのでしょうか?(関連記事:新型ブラウザー「Firefox 3」に早くも脆弱性報告,詳細は未公表)
このセキュリティ・ホールはTippingPointゼロデイ イニシアティブの研究者が発見したもので,当初は未修正一覧である「TippingPointゼロデイ イニシアティブ公開予定アドバイザリ」に管理番号と影響度だけが記載されていました。
リリース当日に未修正のセキュリティ・ホールが報告され,セキュリティ・ホールの詳細が伏せられていたとはいえ,危険な状態が約1カ月続きました。
7月になって,ようやく「Firefox 3」をお勧めできる状況となりました。対応済みバージョンである「Firefox 3.0.1」リリース後の7月17日に,「TippingPointゼロデイ イニシアティブ公開済みアドバイザリ」では,「Mozilla Firefox CSSValue Array Memory Corruption Vulnerability」として概要レポートが公開されました(関連記事:「Firefox 3」に初めてのアップデート版,危険な脆弱性を3件修正)。Mozilla Japanからは,「Mozilla Foundation セキュリティアドバイザリ 2008-34」として公開されています。
(本セキュリティ・ホールは,「Firefox 2」にも同様に存在し,「Firefox 3」の前日に対応版”2.0.0.16”はリリースされています)
原稿執筆時点(7月28日)にチェックした範囲では,「Firefox 3」に既知のセキュリティ・ホールは残っていない状況のようです。
