The Mozilla Organization(mozilla.org)は米国時間9月13日,Webブラウザやメーラーなどを統合したスイート・ソフト「Mozilla」の最新版バージョン1.7.3を公開した。同時に,Webブラウザ「Firefox」の1.0PR(Preview Release),メーラー/ニュース・リーダー「Thunderbird」のバージョン0.8も公開した。

 Mozilla 1.7.3などでは,複数のセキュリティ・ホールが修正された。mozilla.orgのページによると,今回公開された最新版は,セキュリティ・アップデート(security update)と位置付けられている。「Known Vulnerabilities in Mozilla」によると,最新版で修正されたセキュリティ・ホールは10個。このうち,特に危険とされているセキュリティ・ホールは,以下の3つ。

(1)「Non-ASCII hostname heap overrun」
(2)「BMP integer overflow」
(3)「Buffer overflow when displaying VCard」

 (1)は,非ASCII文字を含む長いリンクを適切に処理できないセキュリティ・ホール。Webページやメールに記載された,細工が施されたリンクをクリックするとバッファ・オーバーフローが発生する。その結果,任意のコード(プログラム)を実行させられる危険性がある。

 (2)は,BMPファイルを適切に処理できないセキュリティ・ホール。細工が施されたBMPファイルを読み込むと,Mozillaなどをクラッシュさせられたり,任意のコードを実行させられたりする。

 (3)は,VCardを適切に処理できないセキュリティ・ホール。VCardとは,名刺に記載されるような情報(名前や肩書き,連絡先など)をやり取りするためのファイル(規格)。VCardを扱うために,Mozillaなどの内部で定義されて使われてるwriteGroup()関数に未チェックのバッファがある。このため,細工が施されたVCardを読み込むとバッファ・オーバーフローが発生し,任意のコードを実行させられる。

◎参考資料
Mozilla 1.x Releases
Mozilla 1.7.3
Release Notes - Firefox Preview Release ("Greenlane")
Release Notes - Thunderbird 0.8
Fixed in Firefox Preview Release, Mozilla 1.7.3, Thunderbird 0.8
Mozilla Multiple Vulnerabilities

(勝村 幸博=IT Pro)