ネットソリューション部 担当部長
ある企業のシステム管理者から『最新版のFirefox 3.5.3に更新したところ,Firefoxの更新後の再起動された画面に「Adobe Flash Playerを今すぐ更新してください」という見慣れないWebページが表示された。どうしてMozillaがこうしたWebページを表示するようになったのか?』と相談を受けました。
2009年9月9日,米Mozilla FoundationはオープンソースWebブラウザの最新版である「Firefox 3.5.3」と「Firefox 3.0.14」を,日本語版も含めてリリースしました。
Firefox 3.5.3での更新内容や新機能情報が記載されるはずの「Firefox 3.5.3 リリースノート」には記載がないのですが,実は今回リリースされた「Firefox 3.5.3」と「Firefox 3.0.14」から,“Helping users keep plugins updated”(利用者が継続的にプラグインをアップデートすることを援助する)という仕組みが追加されています。今回は,この“Helping users keep plugins updated”という仕組みについて解説します。
以前のコラムで述べたように,Firefox 3.0系のセキュリティ更新は2010年1月で終了します。このためそれまでに,Firefox 3.5系に移行する必要があります。
「Firefox 3.5.3」で修正されたセキュリティ問題は,「Firefox 3.5 セキュリティアドバイザリ」に記載されているように,重要度レベルが“最高”の3件
「FeedWriterによるクローム特権昇格」
「ツリー列のダングリングポインタ脆弱性」
「メモリ破壊の形跡があるクラッシュ」と,“低”1件の計4件が修正されています。また,いくつかの安定性に関する問題が修正されたとアナウンスされています。最新バージョンへのアップデートが必須の状況です。
前回のコラムで紹介した「Secunia PSI」は,最新版の「Firefox 3.5.3」にアップデートした後も,「安全でなく,解決策も無い」と警告を出力します。ただし,「Secunia Advisories:Mozilla Firefox Temporary File Download Manipulation Security Issue」という警告レポートにリンクが張られており,重要度レベルは“Not critical”(重要では無い)です。対象も「Linux版バージョン3.5.2で確認されました。他のバージョンも影響を受けるかもしれません。」という趣旨の記載ですので,深刻なものではないようです。
「Firefox 3.5.3」と「Firefox 3.0.14」から実現された“Helping users keep plugins updated”という仕組みについて説明しましょう。これは,Firefoxを最新版に更新する時に,古いFlash Playerが導入されていれば,Firefox更新後の初回の再起動時に誘導される「Firefoxの更新」というWebページで警告が表示されるというものです。
具体的には「Adobe Flash Playerを今すぐ更新してください。Firefoxは最新版に更新されましたが,今お使いのFlash Playerプラグインのバージョンが古く,安全性や安定性の問題があります。できる限り早く無料の最新版をインストールしてください」と警告が表示されます。またこのWebページでは,「Adobe Flash Playerのインストール」へのリンクが張られ,危険な状態の利用者を誘導しています。ただし,Firefoxの起動時に毎回チェックされるわけではなく,あくまでFirefox更新後の初回の再起動時に自動的に誘導される「Firefoxの更新」というWebページにアクセスしたタイミングになります。