FirefoxとThunderbirdの最新版が公開、DLL読み込みの脆弱性を解決

「Firefox 3.6.9」と「Thunderbird 3.1.3」がリリースされ、合計15件の脆弱性に対処している。

[ITmedia]

　Mozilla FoundationはWebブラウザの更新版「Firefox 3.6.9」とメールソフトの更新版「Thunderbird 3.1.3」を9月7日付でリリースした。WindowsのDLL読み込みに関する脆弱性など多数のセキュリティ問題を解決している。

　Mozillaのアドバイザリーによると、今回の更新では合計15件の脆弱性に対処した。このうち10件が重要度「最高」に分類されている。

　WindowsのDLL読み込みの脆弱性はMicrosoftが8月に情報を公開していたもので、多数のメーカーのアプリケーションに影響が及んでいる。Firefoxでは起動時に「dwmapi.dll」をロードする仕組みになっているが、Windows XPなどこのライブラリが存在しないシステムの場合、現在のワーキングディレクトリからライブラリを読み込もうとする。この問題を突いて攻撃者が悪質なdwmapi.dllのコピーを仕掛け、Firefoxで開かせて悪質なコードを実行することが可能だった。

　このほかにもリモートコード実行などにつながる多数の深刻な問題が解決された。「URLに含まれた悪質なフォントによるクラッシュ」の問題は、Mac版のみに影響する。

　また、Firefox 3.6.9ではクリックジャッキング防止策としてHTTPレスポンスヘッダ「X-FRAME-OPTIONS」に対応した。X-FRAME-OPTIONSは、frameまたはiframeでのページ処理を許可するかどうかを指定でき、自分のWebサイトのコンテンツが他のWebサイトへ埋め込まれるのを防止できる。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら