米Mozilla Foundationが米国時間7月17日,オープンソースWebブラウザのバグ修正版「Firefox 2.0.0.5」を公開した。同版は,URIハンドラに存在していたセキュリティ・ホールなどを修正したもの(関連記事「Firefox 2.0のURIハンドラに重大な欠陥,IEとの組み合わせが危険,Secuniaが警告」)。Mozilla FoundationのWebサイトからWindows/Mac OS X/Linux版を無償でダウンロードできる。
Firefox 2.0.0.5で修正した問題の1つは,「Mozilla Foundation Security Advisory 2007-23:Remote code execution by launching Firefox from Internet Explorer」(CVE-2007-3670)。Firefoxが「firefoxurl://」で始まるURIを受け取った際,「-chrome」パラメータの処理に問題があるためJavaScriptコマンドを実行するというもの。例えば,ユーザーが米MicrosoftのInternet ExplorerでWebページを閲覧中に悪意のある「firefoxurl://……」というリンクをクリックすると,Firefoxが起動して指示されたコマンドを実行し,遠隔地からシステムに不正アクセスされてしまう。
なおMozilla Foundationは「IE側にこの問題の原因があるものの,ほかのアプリケーションでも同様の攻撃に悪用される可能性がある」としている。ただし「Firefox 2.0.0.5で修正したように,受け取るデータの内容はFirefoxが検査すべき」との意見もあったという。
[発表資料(Firefox 2.0.0.5公開)]
[発表資料(英語版リリースノート)]
[発表資料(日本語版リリースノート)]
