ノルウェーOpera Softwareは現地時間3月13日,セキュリティ・ホールを修正したOperaブラウザの新版「Opera 7.03 for Windows」を公開した。同社サイトおよび国内代理店であるトランスウエアのサイトから日本語版をダウンロードできる。セキュリティ・ホールを悪用されると,ユーザーのパソコン上で任意のコードを実行される恐れがある。Operaユーザーは早急に対応したい。
今回修正されたセキュリティ・ホールは,Operaがファイルをダウンロードする際に,そのファイル名の長さをチェックしないことが原因である。想定した以上の長さのファイル名を読み込むとバッファ・オーバーフローが発生し,ファイル名に仕込まれたコードを実行してしまう。つまり,細工が施されたリンクをクリックしたり,そのようなリンクが仕込まれたWebページ(HTMLメール)を閲覧したりするだけで,パソコン上で任意のプログラムを実行されてしまう恐れがある。
このセキュリティ・ホールに関する情報,およびセキュリティ・ホールを検証するツールは,セキュリティ関連のメーリング・リスト「Bugtraq」に3月11日付けで投稿されている。Opera 6.0x,7.0xが影響を受けるとともに,設定変更などでは回避できないようなので,すべてのOperaユーザーが,7.03へバージョン・アップすることで対応する必要がある。
加えて新版Opera 7.03では,プラグインのFlash Playerが,セキュリティ・ホールを修正したバージョン「Flash Player 6,0,79,0」に変更されている(関連記事)。
セキュリティ・ホールの公開からおよそ2日後には修正版が公開されたので,Opera Softwareの対応は比較的早かったといえる。Opera 7.03での修正点を記述した「Changelog for Opera 7.03 for Windows」には,ダウンロード時にファイル名の長さをチェックしない問題を修正した旨が,非常に簡単ではあるが記述されている。
ところが,トランスウエアのサイトには,そのような記述は見当たらない(3月14日午後2時時点)。同社のサイトを見る限りでは,Opera 7.02以前に深刻なセキュリティ・ホールがあることは全く分からない。セキュリティ・ホールが見つかること自体は,ソフトウエアである以上,ある程度避けられないだろう。問題なのは,ユーザーに伝えないことである。新版にバージョン・アップするという対応策があるのだから,きちんと告知してもらいたい。今回のように深刻なセキュリティ・ホールについては,Webサイトの目に付くところに告知することはもちろん,有償版を購入したユーザー向けのメール配信サービス「Opera日本語版 News Magazine」でも告知してもらいたい。
◎参考資料
◆Opera Press Releases(ノルウェーOpera Software,英語)
◆Changelog for Opera 7.03 for Windows(ノルウェーOpera Software,英語)
(勝村 幸博=ITPro)
