FirefoxなどMozilla製品に危険度「高」の脆弱性

報告された6件の脆弱性には、APOP認証のバグにより、攻撃者に機密情報を取得される恐れがある問題も含まれる。

[ITmedia]

　仏セキュリティ機関FrSIRTは5月30日、Mozilla Firefox、Thunderbird、Seamonkeyで複数の脆弱性が発見されたと報告した。危険度は最も高い「Critical」としている。

　発見された脆弱性は合計6件で、メモリ破損のエラーにより脆弱なアプリケーションのクラッシュや任意のコード実行につながる問題や、フォームオートコンプリート機能のエラーによりメモリリソースの消耗やサービス不能（DoS）状態につながる問題などが含まれる。ほかに、APOP認証の問題により、攻撃者に機密情報を取得される恐れがある脆弱性もある。

　この問題の影響を受ける製品は以下の通り。

• バージョン2.0.0.4より前のFirefox 2.xおよびThunderbird 2.x
• バージョン1.5.0.12より前のFirefox 1.5.xおよびThunderbird 1.5.x
• バージョン1.0.9より前のSeamonkey1.0.x
• バージョン1.1.2より前のSeamonkey1.1.x

　FrSIRTはこの問題を解決する方法として、FirefoxとThunderbirdをバージョン2.0.0.4あるいは1.5.0.12に、Seamonkeyをバージョン1.0.9または1.1.2にアップグレードするよう勧めている。

　なお、Mozilla FoundationはFirefox 1.5.0.12がバージョン1.5系の最後のリリースになるとしている。旧版Firefoxのサポートは通常、新版リリースの6カ月後に終了するが、同団体は4月に予定されていたFirefox1.5.xのサポート打ち切りを5月に延期していた。バージョン1.5.0.12をもってサポートは終了となり、これ以後バージョン1.5系のセキュリティアップデートは提供されなくなるため、同団体はユーザーにFirefox 2へのアップグレードを勧めている。