米モジラは2010年10月27日、Webブラウザー「Firefox 3.6」の最新版バージョン3.6.12と、「Firefox 3.5」の最新版バージョン3.5.15を公開した。最新版では、悪用が確認されている脆弱(ぜいじゃく)性を修正。モジラによれば、脆弱性が報告されてから48時間以内にリリースできたとしている。
モジラやセキュリティ企業各社は10月26日、Firefox 3.6.11以前(3.6.11を含む)に見つかった脆弱性を悪用する攻撃が確認されたことを明らかにした。その時点ではFirefox 3.6.11が最新版だったため、いわゆる「ゼロデイ攻撃」である。
攻撃に悪用されたのは、バッファーオーバーフローと呼ばれる問題を引き起こす脆弱性。細工が施されたWebサイトを閲覧するだけで、ウイルスなどを実行される恐れがある。
当初確認された攻撃では、ノーベル平和賞のWebサイトが悪用された。攻撃者は同サイトを改ざん。悪質サイトに誘導する「わな」を仕込んだ(現在では修正済み)。悪質サイトには、脆弱性を悪用するウイルスが置かれていた。
このため、Firefoxでノーベル平和賞のWebサイトにアクセスすると、ウイルスに感染する危険性があった。ウイルスに感染するとパソコンを乗っ取られ、インターネット経由で自由に操られてしまう。モジラなどによれば、そのサイト以外にも同様のわなが仕込まれた危険性があるという。
モジラでは今回の脆弱性を確認すると、修正版の作成に着手。モジラによれば、脆弱性の報告から48時間以内に修正版をリリースできたという。
最新版は、Firefoxが備える自動更新機能でインストールできる。10月27日付のモジラの情報によれば、同日の24時間後から48時間後の間に、最新版の公開が通知されるとしている。
手動でもアップデート可能。Firefoxの「ヘルプ」から「ソフトウェアの更新を確認」を選択すれば、最新版をダウンロードおよびインストールできる。Mozilla JapanのWebサイトからも最新版をダウンロードできる。
