Mozilla Japanは4月24日,Webブラウザやメール・クライアントなどを統合したスイート・ソフト「Mozilla Suite」の新版「Mozilla 1.7.7日本語版」をリリースした。新版では,複数のセキュリティ・ホールを修正した。危険なセキュリティ・ホールも含まれるので,Mozilla Japanでは「すべてのユーザーにアップデートを推奨します」としている。Mozilla 1.7.7日本語版はMozilla Japanのサイトなどから入手できる。
Mozilla 1.7.7で修正されたセキュリティ・ホールは,以下の7種類。
- DOM プロパティの上書きを通じた特権の拡大(MFSA 2005-41)
- インストールオブジェクトのインスタンスチェック欠落(MFSA 2005-40)
- 検索プラグインを通じたクロスサイトスクリプティング(MFSA 2005-38)
- 「javascript:」形式の favicon を通じたコードの実行(MFSA 2005-37)
- グローバルスコープ汚染を通じたクロスサイトスクリプティング(MFSA 2005-36)
- ブロックされた「javascript:」形式のポップアップを表示する際に,誤った特権付きコンテキストが用いられる(MFSA 2005-35)
- JavaScript の「ラムダ」置き換えにより,メモリの内容が読み出される(MFSA 2005-33)
このうち,「MFSA 2005-41」と「MFSA 2005-37」については,「重要度」が「最高」に設定されている危険なセキュリティ・ホールである。細工が施されたリンクをクリックするだけで,任意のスクリプトを実行させられるなどの危険性がある。「MFSA 2005-37」を突くコードも公表されている(関連記事)。Mozillaユーザーは早急にアップデートしたい。
同様のセキュリティ・ホールはFirefox 1.0.2以前(1.0.2)にも含まれるので,Firefoxも最新バージョン1.0.3にアップデートすべき。Firefox 1.0.3の日本語版は4月17日に公開されている(関連記事)。
なお,英語版については,Firefox 1.0.3とMozilla 1.7.7のいずれも,米国時間4月15日にリリースされている(関連記事)。
◎参考資料
◆Mozilla 1.7.7 リリースのお知らせ
◆Mozilla における既知の脆弱性 Mozilla Suite
(勝村 幸博=IT Pro)