The Mozilla Organization(mozilla.org)は米国時間8月4日,Webブラウザ「Mozilla」の最新版バージョン1.7.2を公開した。同時に,「Firefox」の最新版0.9.3と「Thunderbird」の最新版0.7.3も公開した。最新版では,最近見つかったいくつかのセキュリティ・ホールが修正されている。mozilla.orgや「もじら組」のサイトなどからダウンロードできる。
もじら組が公開する「Mozilla における既知の脆弱性」によると,Mozilla/Firefox/Thunderbirdの最新版では,以下のセキュリティ・ホールが修正されている。
(1)libpngのバッファ・整数オーバーフロー
(2)onunload ハンドラでdocument.writeを使った鍵アイコンと証明書の偽装
(3)悪質な証明書によってHTTPS/SSLが永久的に遮断される
(1)については,米US-CERTなどが警告しているセキュリティ・ホール。細工が施されたPNG画像を読み込むと,悪質なプログラムをさせられる恐れがある(関連記事)。(2)は,他のサイトのデジタル証明書を使って,あるWebページを安全なページに見せかけられるセキュリティ・ホール。“フィッシング”などのオンライン詐欺に悪用可能である。(3)は,SSLを使っているページにアクセスできなくなってしまうセキュリティ・ホールである。
「Mozilla における既知の脆弱性」などを見る限りでは,7月に報告された,偽装を許すセキュリティ・ホールは修正されていない模様(関連記事)。
◎参考資料
◆Mozilla 1.7.2(mozilla.org)
◆Mozilla 1.7 Release Notes(mozilla.org)
◆Mozilla 1.7/1.7.1 ホームページ(もじら組)
◆Mozilla における既知の脆弱性(もじら組)
(勝村 幸博=IT Pro)
