米Mozilla Foundationは米国時間7月12日,Webブラウザ「Firefox」およびメール・ソフト「Thunderbird」に複数のセキュリティ・ホールが見つかったことを明らかにした。任意のコード(プログラム)を実行されるような危険なセキュリティ・ホールが含まれる。
対策はセキュリティ・ホールを修正した「Firefox 1.0.5」および「Thunderbird 1.0.5」にアップデートすること(関連記事)。現在公開されているのは英語版のみ(7月14日10時時点)。Mozilla Foundationの公式アフィリエイトであるMozilla Japanによれば,日本語版のFirefox 1.0.5は今週中に,Thunderbird 1.0.5は近日中に公開する予定であるという。
Firefox 1.0.5で修正されたセキュリティ・ホールは以下の通り。
- MFSA 2005-56 共通関数オブジェクトを通じたコードの実行
- MFSA 2005-55 XHTML ノードの偽装
- MFSA 2005-54 JavaScript プロンプト生成元の偽装
- MFSA 2005-53 スタンドアロンアプリケーションからブラウザを通じて任意のコードが実行される
- MFSA 2005-52 同一生成元違反: フレームが top.focus() を呼び出し可能
- MFSA 2005-51 フレームへのコンテンツ注入によるサイト偽装の再発
- MFSA 2005-50 攻撃に利用される可能性のある InstallVersion.compareTo によるクラッシュ
MFSA 2005-49 「data:」形式の URL を通じたサイドバーパネルからのスクリプト注入- MFSA 2005-48 InstallTrigger コールバックによる同一生成元違反
- MFSA 2005-47 「壁紙として設定」機能を通じたコードの実行
- MFSA 2005-46 JavaScript 無効時にも XBL スクリプトが実行される
- MFSA 2005-45 コンテンツ生成イベントに関する脆弱性
「MFSA 2005-56」と「MFSA 2005-53」は,重要度(Severity)が「最高(Critical)」に設定されている危険なセキュリティ・ホールである。悪用されると,任意のプログラムを勝手に実行される恐れがある。
また,「MFSA 2005-49」および「MFSA 2005-47」についても,重要度は「最高」の下の「高(High)」ではあるが,任意のプログラム(スクリプト)を実行させられる可能性がある。実際,これらのセキュリティ・ホールを突くコードがインターネット上で公開されている。
Thunderbird 1.0.5で修正されたセキュリティ・ホールについては,現時点(7月14日10時時点)では,「Mozilla 製品における既知の脆弱性(Known Vulnerabilities)」では公表されていない。リリースノートにおいて,「Thunderbird 1.0.5はセキュリティと安定性のためのアップデートなので,すべてのユーザーにバージョンアップすることを勧める」としている。
【7月14日14時追記】Mozilla Japanによると,Thunderbird 1.0.5で修正された主なセキュリティ・ホールは,FirefoxやMozilla Suiteにも見つかった「JavaScript 無効時にも XBL スクリプトが実行される」であるという。【以上,7月14日14時追記】
【7月15日追記】Mozilla Foundation(Mozilla Japan)は7月14日,「Known Vulnerabilities」(Mozilla 製品における既知の脆弱性)」を更新し,Thunderbird 1.0.5で修正されたセキュリティ・ホールを明らかにした。それによると,以下のセキュリティ・ホールが修正されたという。
- MFSA 2005-56 共通関数オブジェクトを通じたコードの実行
- MFSA 2005-55 XHTML ノードの偽装
- MFSA 2005-52 同一生成元違反: フレームが top.focus() を呼び出し可能
- MFSA 2005-50 攻撃に利用される可能性のある InstallVersion.compareTo によるクラッシュ
- MFSA 2005-46 JavaScript 無効時にも XBL スクリプトが実行される
- MFSA 2005-44 非 DOM プロパティの上書きを通じた特権の拡大
- MFSA 2005-41 DOM プロパティの上書きを通じた特権の拡大
- MFSA 2005-40 インストールオブジェクトのインスタンスチェック欠落
- MFSA 2005-33 JavaScript の「ラムダ」置き換えにより、メモリの内容が読み出される
なお,Thunderbird 1.0.5の前のバージョンは「1.0.2」。バージョン1.0.3/1.0.4は存在しない。Mozilla Japanによると,Firefoxのバージョンと合わせるために,今回のバージョンを1.0.5にしたという。
加えて,Webブラウザやメール・ソフトなどを統合したスイート製品「Mozilla 1.7.8」にも,Firefoxに見つかったものと同じセキュリティ・ホールがいくつか存在することが公表された。「既知の脆弱性(Known Vulnerabilities)」では,Mozilla 1.7.9で修正されたとしているが,英語版および日本語版とも,現時点ではMozilla 1.7.9は未公開である。セキュリティ・ベンダーのデンマークSecuniaでは,新版が公開するまでの回避策として,「信頼できないサイトにはアクセスしない」ことを挙げている。
◎参考資料
◆Mozilla 製品における既知の脆弱性(Firefox)
◆Known Vulnerabilities in Mozilla Products(Firefox)
◆Mozilla 製品における既知の脆弱性(Thunderbird)
◆Known Vulnerabilities in Mozilla Products(Thunderbird)
◆Mozilla 製品における既知の脆弱性(Mozilla)
◆Known Vulnerabilities in Mozilla Products(Mozilla)
◆Mozilla Multiple Vulnerabilities
(勝村 幸博=IT Pro)