米Mozilla Foundationは米国時間7月12日,Webブラウザ「Firefox」およびメール・ソフト「Thunderbird」に複数のセキュリティ・ホールが見つかったことを明らかにした。任意のコード(プログラム)を実行されるような危険なセキュリティ・ホールが含まれる。

 対策はセキュリティ・ホールを修正した「Firefox 1.0.5」および「Thunderbird 1.0.5」にアップデートすること(関連記事)。現在公開されているのは英語版のみ(7月14日10時時点)。Mozilla Foundationの公式アフィリエイトであるMozilla Japanによれば,日本語版のFirefox 1.0.5は今週中に,Thunderbird 1.0.5は近日中に公開する予定であるという。

 Firefox 1.0.5で修正されたセキュリティ・ホールは以下の通り

 「MFSA 2005-56」「MFSA 2005-53」は,重要度(Severity)が「最高(Critical)」に設定されている危険なセキュリティ・ホールである。悪用されると,任意のプログラムを勝手に実行される恐れがある。

 また,「MFSA 2005-49」および「MFSA 2005-47」についても,重要度は「最高」の下の「高(High)」ではあるが,任意のプログラム(スクリプト)を実行させられる可能性がある。実際,これらのセキュリティ・ホールを突くコードがインターネット上で公開されている。

 Thunderbird 1.0.5で修正されたセキュリティ・ホールについては,現時点(7月14日10時時点)では,「Mozilla 製品における既知の脆弱性(Known Vulnerabilities)」では公表されていない。リリースノートにおいて,「Thunderbird 1.0.5はセキュリティと安定性のためのアップデートなので,すべてのユーザーにバージョンアップすることを勧める」としている。

【7月14日14時追記】Mozilla Japanによると,Thunderbird 1.0.5で修正された主なセキュリティ・ホールは,FirefoxやMozilla Suiteにも見つかった「JavaScript 無効時にも XBL スクリプトが実行される」であるという。【以上,7月14日14時追記】

【7月15日追記】Mozilla Foundation(Mozilla Japan)は7月14日,「Known Vulnerabilities」Mozilla 製品における既知の脆弱性)」を更新し,Thunderbird 1.0.5で修正されたセキュリティ・ホールを明らかにした。それによると,以下のセキュリティ・ホールが修正されたという。

【以上,7月15日追記】

 なお,Thunderbird 1.0.5の前のバージョンは「1.0.2」。バージョン1.0.3/1.0.4は存在しない。Mozilla Japanによると,Firefoxのバージョンと合わせるために,今回のバージョンを1.0.5にしたという。

 加えて,Webブラウザやメール・ソフトなどを統合したスイート製品「Mozilla 1.7.8」にも,Firefoxに見つかったものと同じセキュリティ・ホールがいくつか存在することが公表された。「既知の脆弱性(Known Vulnerabilities)」では,Mozilla 1.7.9で修正されたとしているが,英語版および日本語版とも,現時点ではMozilla 1.7.9は未公開である。セキュリティ・ベンダーのデンマークSecuniaでは,新版が公開するまでの回避策として,「信頼できないサイトにはアクセスしない」ことを挙げている

◎参考資料
Mozilla 製品における既知の脆弱性(Firefox)
Known Vulnerabilities in Mozilla Products(Firefox)
Mozilla 製品における既知の脆弱性(Thunderbird)
Known Vulnerabilities in Mozilla Products(Thunderbird)
Mozilla 製品における既知の脆弱性(Mozilla)
Known Vulnerabilities in Mozilla Products(Mozilla)
Mozilla Multiple Vulnerabilities

(勝村 幸博=IT Pro)