Mozilla Foundationは5月2日(現地時間),オープンソースのWebブラウザFirefox 1.5に存在する重要度「高」のセキュリティ・ホールを明らかにした。ブラウザをクラッシュさせられる恐れがあると同時に,理論上,悪質なコードの実行に利用される可能性がある。対策は最新版1.5.0.3にバージョンアップすること,またはJavaScriptを無効にすること。
公開されたセキュリティ・ホールは,デザイン・モード有効時に,削除されたコントローラ・コンテキストを使用しようとするとブラウザのクラッシュが発生するというもの。また「理論上,削除済みオブジェクトの参照は悪質なコードの実行に利用される可能性がある」(Mozilla Foundation)。
Mozilla Foundationによれば,このセキュリティ・ホールはFirefox 1.0.xやMozilla Suite 1.7.xなどの旧バージョンには存在しないという。
Firefox 1.5.0.3は,日本語版もすでに公開されている。自動更新を有効にしてあれば,自動的にダウンロードされ更新される。
◎関連資料
◆Mozilla Foundation セキュリティアドバイザリ 2006-30 designMode有効時の削除済みオブジェクトの参照(Mozilla Japan)
◆Mozilla Firefox 1.5.0.3 リリースノート(Mozilla Japan)
◆Firefox "contentWindow.focus()" Deleted Object Reference Vulnerability(Secunia Advisory)
◆CVE-2006-1993(CVE)
