Mozilla Foundation Security Advisories

[画像のクリックで拡大表示]

　米Mozilla Foundationは米国時間2月1日，FirefoxやThunderbird，Mozilla Suite，SeaMonkeyに見つかった複数のセキュリティ・ホールを公表した。最も危険なセキュリティ・ホールを悪用されると，パソコン上で任意のプログラムを実行される可能性がある。対策は，アップグレードや設定変更。FirefoxとSeaMonkeyについては，最新版で修正されている（関連記事）。

　明らかにされたセキュリティ・ホールは8種類。以下は，Mozilla Japanが公開する日本語情報に基づいている。

（1）MFSA 2006-01　JavaScript ガベージコレクションの脆弱性
（2）MFSA 2006-02　positionプロパティの値を relative から static に変更するとメモリ破壊が生じる
（3）MFSA 2006-03　長いページタイトルによって起動時のサービス妨害が生じる（関連記事）
（4）MFSA 2006-04　Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊
（5）MFSA 2006-05　XULDocument.persist() を使った Localstore.rdf への XML インジェクション
（6）MFSA 2006-06　E4X，SVG，Canvas における整数オーバーフロー
（7）MFSA 2006-07　XML のパース中にバッファが読み出される
（8）MFSA 2006-08　「AnyName」による同調とアクセスコントロールの脆弱性

　影響を受けるプロダクトや重要度はそれぞれ異なる。例えば，Firefoxはすべてのセキュリティ・ホールの影響を受ける。Thunderbirdは（3）以外のセキュリティ・ホールを受ける。重要度については，（3）（7）（8）が「低」，（1）（2）（4）（6）が「中」，（5）が「高」。

　対策は，修正版へのアップグレード。FirefoxとSeaMonkeyについては，最新版のFirefox 1.5.0.1およびSeaMonkey 1.0において，いずれのセキュリティ・ホールも修正されている。

　アップグレードしない場合，あるいは修正版が存在しないThunderbirdなどでの回避策はJavaScriptを無効にすることなど。ThunderbirdではデフォルトでJavaScriptは無効になっているので，設定変更していなければセキュリティ・ホールを突かれることはない。信頼できないWebページやメールを開かないことも回避策としては有効。

◎参考資料
◆Mozilla Foundation Security Advisories
◆Mozilla Foundation セキュリティアドバイザリ