セキュリティ組織の米US-CERTは米国時間4月17日,Webブラウザ「Firefox」やメール・ソフト「Thunderbird」などのMozilla製品には複数のセキュリティ・ホールが見つかっているとして注意を呼びかけた。細工が施されたWebページやメールなどを開くだけで,悪質なプログラムを勝手に実行される恐れがある。対策は,最新版にアップデートすること。
セキュリティ・ホールが確認されているのは,アプリケーション・スイート「Mozilla」および「SeaMonkey」,Firefox,Thunderbird。Mozilla製品のコンポーネントを利用している製品,特にレンダリング・エンジン「Gecko」を利用している製品も同様に影響を受ける。
Mozilla Foundationは4月13日付けで,19種類のセキュリティ・ホールを公表しているが(Mozilla Japanの情報),US-CERTでは以下のセキュリティ・ホールについて,特に注意を呼びかけてる(「VU#XXXXXX」は,US-CERTの「Vulnerability Note」の番号。その下の「MFSA 2006-XX」は,それに対応するMozillaのSecurity Advisoryの番号)。
VU#932734 - Mozilla crypto.generateCRMFRequest() vulnerability
MFSA 2006-24 crypto.generateCRMFRequest を使った特権の拡大
VU#968814 - Mozilla JavaScript security bypass vulnerability
MFSA 2006-28 js_ValueToFunctionObject() のセキュリティチェックが回避可
VU#179014 - Mozilla CSS integer overflow vulnerability
MFSA 2006-22 CSS の letter-spacing に関するヒープオーバーフロー
VU#488774 - Mozilla XBL binding vulnerability
MFSA 2006-16 valueOf.call() を通じた XBL コンパイル範囲へのアクセス
VU#842094 - Mozilla JavaScript cloned parent vulnerability
MFSA 2006-15 JavaScript 関数のクローン親を使った特権の拡大
VU#813230 - Mozilla products vulnerable to privilege escalation via XBL.method.eval
MFSA 2006-14 XBL.method.eval を通じた特権の拡大
VU#736934 - Mozilla products vulnerable to memory corruption via a particular sequence of HTML tags
MFSA 2006-18 Mozilla Firefox のタグの順序に関する脆弱性
VU#935556 - Mozilla products may allow CSS border-rendering code to write past the end of an array
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)
VU#350262 - Mozilla DHTML memory corruption vulnerabilities
MFSA 2006-20 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.2)
VU#252324 - Mozilla display style vulnerability
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)
VU#329500 - Mozilla products vulnerable to memory corruption via large regular expression in JavaScript
MFSA 2006-11 メモリ破壊の形跡があるクラッシュ (rv:1.8)
対策は,セキュリティ・ホールを修正した最新版にアップグレードすること。FirefoxとSeamonkeyについては,セキュリティ・ホールを修正したFirefox 1.5.0.2とSeamonkey 1.0.1が米国時間4月13日に公開されている(関連記事)。なお,現在公開されているSeamonkey 1.0.1は英語版のみ。セキュリティ・ホールを修正したThunderbirdの最新版Thunderbird 1.5.0.2については,米国時間4月18日に公開される予定である。
◎参考資料
◆Mozilla Products Contain Multiple Vulnerabilities
◆Mozilla Foundation セキュリティアドバイザリ
◆Mozilla 製品における既知の脆弱性
