FirefoxやMozillaなどに全12種類の脆弱性

Mozilla Foundationは1月21日付けで、FirefoxやThunderbird、Mozillaに全12種類の脆弱性が存在することを明らかにした。

[ITmedia]

　Mozilla Foundationは1月21日付けで、FirefoxやThunderbird、Mozillaに全12種類の脆弱性が存在することを明らかにし、最新バージョンへのアップグレードを呼びかけた。24日には日本語版のアナウンスも公開されている。

　これらの中には、危険度が「高」と判定されているものが7種類含まれている。特に「"javascript:" を含むライブブックマークによって個人データが盗まれる」脆弱性については、悪意あるライブブックマークの更新時に、細工を施したURLを通じてページ内のCookieやデータを盗み取られる可能性がある。表示しているページが特権の高いものであった場合、マシン上で任意のコードを実行される恐れもあるという。

　また「非プロキシサーバ（SSL/HTTPS）からのプロキシ認証にも応じる」という問題は、Webブラウザ上で設定したプロキシサーバのみならず、SSL接続を行うあらゆるサーバからの407 Proxy-authenticate（407プロキシ認証）のリクエストに応じてしまうというもの。本来はプロキシサーバに受け渡すべきNTLM認証に関する情報などが、第三者に漏洩してしまう恐れがある。

　他にも、悪意あるコンテンツをそうと知らせず、ユーザーの確認なしにダウンロードできてしまう脆弱性やnews: URLの処理に関するヒープオーバーフローの脆弱性などが報告されている。いずれも、最新版のFirefox 1.0／Thunderbird 0.9／Mozilla Suite 1.7.5で修正されている。