Mozilla Japanは7月28日,メール・クライアント・ソフト「Thunderbird」の最新版バージョン1.5.0.5をリリースした。Thunderbird 1.5.0.5では複数のセキュリティ・ホールが修正されている。
Thunderbird 1.5.0.5はMozilla Foundationが現地時間7月26日にアナウンスしているが,Mozilla Foundationのダウンロード・ページなどからは,新版へのリンクが張られない状態が続いていた。
Thunderbird 1.5.0.5で修正されたセキュリティ・ホールは以下のとおり。
MFSA 2006-55 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.5)
MFSA 2006-54 XPCNativeWrapper(window).Function(...) を使ったクロスサイトスクリプティング
MFSA 2006-53 UniversalBrowserRead を使った特権の昇格
MFSA 2006-52 Function.prototype.call を使った PAC の特権の昇格
MFSA 2006-51 名前付き関数と再定義された「new Object()」を使った特権の昇格
MFSA 2006-50 JavaScript エンジンに関する脆弱性
MFSA 2006-49 不正な VCard 上でのヒープバッファオーバーライト
MFSA 2006-48 JavaScript の新たな Function の競合
MFSA 2006-47 ドメインを超えたネイティブ DOM メソッドの乗っ取り
MFSA 2006-46 イベントの同時発生によるメモリ破壊
MFSA 2006-44 削除済みフレームへの参照を通じたコード実行
いずれのセキュリティ・ホールも,WebブラウザFirefox 1.5.0.4以前(1.5.0.4を含む)にも存在する。これは,ThunderbirdがFirefoxと同じブラウザ・エンジンを使用しているため。Thunderbirdと同様に,Firefoxでも最新版1.5.0.5でセキュリティ・ホールは修正されている(関連記事:Firefoxに危険なセキュリティ・ホール)。
修正されたセキュリティ・ホールの多くは,JavaScriptを無効にしていれば影響を回避できる。Firefoxとは異なり,ThunderbirdではデフォルトでJavaScriptが無効なので,明示的に有効にしていなければ影響は小さい。とはいえ,JavaScriptを無効にしても影響を受けるセキュリティ・ホールも修正されているので,Thunderbirdユーザーはアップグレードしておきたい。
Thunderbird 1.5.0.5日本語版は,Mozilla Japanのダウンロード・ページや自動アップデートなどから入手できる。なお米国時間7月26日時点でも,ミラー・サイトからはThunderbird 1.5.0.5を入手可能だった。
・Mozilla JapanのThunderbirdダウンロードページ
・リリースノート
・セキュリティ上の修正点
