米Mozilla Foundationは米国時間2月1日,FirefoxやThunderbird,Mozilla Suite,SeaMonkeyに見つかった複数のセキュリティ・ホールを公表した。最も危険なセキュリティ・ホールを悪用されると,パソコン上で任意のプログラムを実行される可能性がある。対策は,アップグレードや設定変更。FirefoxとSeaMonkeyについては,最新版で修正されている(関連記事)。
明らかにされたセキュリティ・ホールは8種類。以下は,Mozilla Japanが公開する日本語情報に基づいている。
(1)MFSA 2006-01 JavaScript ガベージコレクションの脆弱性
(2)MFSA 2006-02 positionプロパティの値を relative から static に変更するとメモリ破壊が生じる
(3)MFSA 2006-03 長いページタイトルによって起動時のサービス妨害が生じる(関連記事)
(4)MFSA 2006-04 Location および Navigator オブジェクト上での QueryInterface を使ったメモリ破壊
(5)MFSA 2006-05 XULDocument.persist() を使った Localstore.rdf への XML インジェクション
(6)MFSA 2006-06 E4X,SVG,Canvas における整数オーバーフロー
(7)MFSA 2006-07 XML のパース中にバッファが読み出される
(8)MFSA 2006-08 「AnyName」による同調とアクセスコントロールの脆弱性
影響を受けるプロダクトや重要度はそれぞれ異なる。例えば,Firefoxはすべてのセキュリティ・ホールの影響を受ける。Thunderbirdは(3)以外のセキュリティ・ホールを受ける。重要度については,(3)(7)(8)が「低」,(1)(2)(4)(6)が「中」,(5)が「高」。
対策は,修正版へのアップグレード。FirefoxとSeaMonkeyについては,最新版のFirefox 1.5.0.1およびSeaMonkey 1.0において,いずれのセキュリティ・ホールも修正されている。
アップグレードしない場合,あるいは修正版が存在しないThunderbirdなどでの回避策はJavaScriptを無効にすることなど。ThunderbirdではデフォルトでJavaScriptは無効になっているので,設定変更していなければセキュリティ・ホールを突かれることはない。信頼できないWebページやメールを開かないことも回避策としては有効。
◎参考資料
◆Mozilla Foundation Security Advisories
◆Mozilla Foundation セキュリティアドバイザリ
