米Mozilla Foundationは米国時間3月5日，「Firefox」ブラウザと統合アプリケーション「SeaMonkey」が影響を受ける，深刻度「Critical（緊急）」の脆弱性を公表した。Firefox 1.5.0.9および2.0.0.1と，SeaMonkey 1.0.7で権限昇格のセキュリティ・ホールが報告されたという。

　Mozilla Foundationによると，セキュリティ・ホールMFSA 2006-72を修正した際に，リグレッション（退行）が発生した。javascript: URIに手を加え，IMGタグのsrc属性として設定することで，WebコンテンツのJavaScriptコードを悪用して，任意のコードを実行できるようになった。

　さらに，グローバル設定でJavaScriptを無効にしていても，IMGタグのjavascript: URIが実行される問題も報告されている。

　JavaScriptを無効にしても問題解決にならないため，Mozilla Foundationはぜい弱性を修正したバージョン，Firefox 1.5.0.10および2.0.0.2，SeaMonkey 1.1.1および1.0.8へのアップグレードを呼びかけている。

　なお，メール・クライアント「Thunderbird」はIMGタグのjavascript: URIを実行しないため，影響を受ける恐れはない。

[発表資料へ]