米モジラ財団(Mozilla Foundation)は2007年5月30日(米国時間)、オープンソースのWebブラウザー「Firefox」に複数のぜい弱性(セキュリティホール)が見つかったことを明らかにするとともに、ぜい弱性を修正した「Firefox 2.0.0.4」と「Firefox 1.5.0.12」を公開した。日本語版も公開されている。
今回公開されたぜい弱性は以下の5件。いずれについても、Windows版、Mac OS X版、Linux版のすべてが影響を受ける。
・MFSA 2007-12 Crashes with evidence of memory corruption
・MFSA 2007-13 Persistent Autocomplete Denial of Service
・MFSA 2007-14 Path Abuse in Cookies
・MFSA 2007-16 XSS using addEventListener
・MFSA 2007-17 XUL Popup Spoofing
これらのうち「MFSA 2007-12」は、重要度(Impact)が「最高(Critical)」に設定された危険なぜい弱性。細工が施されたWebページにアクセスするだけで、悪質なプログラムを勝手に実行される恐れがある。このためモジラでは、すべてのFirefoxユーザーに対して、Firefox 2.0.0.4あるいはFirefox 1.5.0.12にアップグレードすることを強く勧めている。
Firefox 2.0.0.4/1.5.0.12は、Firefoxが備える「ソフトウェアの更新」機能からダウンロードおよびインストールできる。モジラのダウンロードサイトからも入手可能。日本語版を含めた各国語版の、Windows/Mac OS X/Linux用Firefox 2.0.0.4/1.5.0.12が用意されている。
なお、Firefox 1.5.0.xのリリースは、今回が最後になる予定。今後は、ぜい弱性が見つかったとしても、Firefox 1.5.0.xについては修正版が公開されない。このためモジラでは、Firefox 1.5.0.xユーザーに対して、Firefox 2.0.0.xにアップグレードすることを勧めている。
同日、モジラはメールソフト「Thunderbird」に見つかったぜい弱性についても明らかにした。明らかにされたぜい弱性は以下の2件。
MFSA 2007-12 Crashes with evidence of memory corruption
MFSA 2007-15 Security Vulnerability in APOP Authentication
前述のように、「MFSA 2007-12」はFirefoxも影響を受けるぜい弱性。重要度が「最高」の危険なぜい弱性だが、JavaScriptを無効にしている場合には影響を受けない。このため、Firefoxはデフォルトで有効なため影響を受けるが、ThunderbirdはデフォルトではJavaScriptは無効なので、ユーザーが有効にしていない限り、影響を受けない。ThunderbirdにおいてはJavaScriptを無効にしておくこと(デフォルトのままにしておくこと)を、モジラでは強く勧めている。
「MFSA 2007-15」は、メールの受信に使われる「APOP」と呼ばれる方式(プロトコル)に関するぜい弱性。Thunderbirdに限らず、APOPを利用するすべてのメールソフトが影響を受ける。
いずれについても、Thunderbird 2.0.0.4および1.5.0.12で修正されている。しかしながら現時点(5月31日午前10時)では、Thunderbird 2.0.0.4は、Thunderbirdのダウンロードページでは公開されていない模様。
・Mozilla Foundation Security Advisories
・Firefox 2.0.0.xのダウンロードページ
・Firefox 1.5.0xのダウンロードページ
・Thunderbird 2.0.0xのダウンロードページ
・Thunderbird 1.5.0xのダウンロードページ
