米モジラ財団(Mozilla Foundation)は2007年9月18日(米国時間)、Webブラウザー「Firefox」の最新版「Firefox 2.0.0.7」を公開した。新版では、「重要度(Impact)」が「最高(Critical)」のセキュリティ問題が1件修正された。モジラのWebサイトなどからダウンロードできる。
Firefox 2.0.0.7で修正されたのは、以下の1件。
MFSA 2007-28 QuickTimeのメディアリンクファイルを通じたコードの実行
これは、米アップルの音楽/動画再生ソフト「QuickTime」に関連したセキュリティ問題。QuickTimeには、QuickTimeリンクファイル(.qtl)に関する脆弱(ぜいじゃく)性が見つかっている。この脆弱性は、QuickTimeリンクファイルを使えば、任意のオプションを付けて既定のWebブラウザーなどを起動できるというもの。
Firefoxには、任意のコマンドを実行できるオプション(-chrome)が用意されている。また、QuickTimeリンクファイルがWebページに埋め込まれている場合には、Webブラウザーでアクセスするだけで読み込まれる。このため、QuickTimeがインストールされていて、なおかつFirefoxが既定のWebブラウザーに設定されている環境では、細工が施されたWebページにアクセスするだけで、悪質なスクリプト(プログラム)を実行される恐れがあった。
新版では、この問題を解消。「-chrome」オプションを使ってQuickTimeリンクファイルなどからプログラムを実行するコマンドを渡されても実行しないようにした。つまり、新版をインストールしている環境では、QuickTimeの脆弱性を悪用されても悪質なプログラムを実行される危険性はない。
ただし、新版をインストールしても、QuickTimeの脆弱性は解消されない。この脆弱性を解消する修正プログラムは未公開。このため、この脆弱性を悪用される危険性は残っている。モジラの情報によれば、細工を施したQuickTimeリンクファイルを読み込ませることで、「ポップアップウィンドウとダイアログを表示してユーザーをイライラさせる」といった攻撃は可能であるという。
Firefox 2.0.0.7は、モジラのダウンロードページから入手できる。ダウンロードページには、Windows版、Mac OS X版、Linux版が用意されている。また、日本語版以外の言語バージョンもダウンロードできる。
Firefoxが備える「ソフトウェアの更新」機能からも、新版をダウンロードおよびインストール可能。更新の自動確認機能を有効にしていれば、Firefoxの起動時などに、更新を通知するダイアログが表示される。
