米Mozilla Foundationは米国時間3月5日,「Firefox」ブラウザと統合アプリケーション「SeaMonkey」が影響を受ける,深刻度「Critical(緊急)」の脆弱性を公表した。Firefox 1.5.0.9および2.0.0.1と,SeaMonkey 1.0.7で権限昇格のセキュリティ・ホールが報告されたという。
Mozilla Foundationによると,セキュリティ・ホールMFSA 2006-72を修正した際に,リグレッション(退行)が発生した。javascript: URIに手を加え,IMGタグのsrc属性として設定することで,WebコンテンツのJavaScriptコードを悪用して,任意のコードを実行できるようになった。
さらに,グローバル設定でJavaScriptを無効にしていても,IMGタグのjavascript: URIが実行される問題も報告されている。
JavaScriptを無効にしても問題解決にならないため,Mozilla Foundationはぜい弱性を修正したバージョン,Firefox 1.5.0.10および2.0.0.2,SeaMonkey 1.1.1および1.0.8へのアップグレードを呼びかけている。
なお,メール・クライアント「Thunderbird」はIMGタグのjavascript: URIを実行しないため,影響を受ける恐れはない。
[発表資料へ]
