The Mozilla Organization(mozilla.org)は米国時間9月13日,Webブラウザやメーラーなどを統合したスイート・ソフト「Mozilla」の最新版バージョン1.7.3を公開した。同時に,Webブラウザ「Firefox」の1.0PR(Preview Release),メーラー/ニュース・リーダー「Thunderbird」のバージョン0.8も公開した。
Mozilla 1.7.3などでは,複数のセキュリティ・ホールが修正された。mozilla.orgのページによると,今回公開された最新版は,セキュリティ・アップデート(security update)と位置付けられている。「Known Vulnerabilities in Mozilla」によると,最新版で修正されたセキュリティ・ホールは10個。このうち,特に危険とされているセキュリティ・ホールは,以下の3つ。
(1)「Non-ASCII hostname heap overrun」
(2)「BMP integer overflow」
(3)「Buffer overflow when displaying VCard」
(1)は,非ASCII文字を含む長いリンクを適切に処理できないセキュリティ・ホール。Webページやメールに記載された,細工が施されたリンクをクリックするとバッファ・オーバーフローが発生する。その結果,任意のコード(プログラム)を実行させられる危険性がある。
(2)は,BMPファイルを適切に処理できないセキュリティ・ホール。細工が施されたBMPファイルを読み込むと,Mozillaなどをクラッシュさせられたり,任意のコードを実行させられたりする。
(3)は,VCardを適切に処理できないセキュリティ・ホール。VCardとは,名刺に記載されるような情報(名前や肩書き,連絡先など)をやり取りするためのファイル(規格)。VCardを扱うために,Mozillaなどの内部で定義されて使われてるwriteGroup()関数に未チェックのバッファがある。このため,細工が施されたVCardを読み込むとバッファ・オーバーフローが発生し,任意のコードを実行させられる。
◎参考資料
◆Mozilla 1.x Releases
◆Mozilla 1.7.3
◆Release Notes - Firefox Preview Release ("Greenlane")
◆Release Notes - Thunderbird 0.8
◆Fixed in Firefox Preview Release, Mozilla 1.7.3, Thunderbird 0.8
◆Mozilla Multiple Vulnerabilities
(勝村 幸博=IT Pro)