バグを修正したFirefox最新版

Mozilla Foundationでは、脆弱性を修正した最新版「Firefox 1.0.7」へのアップデートをユーザーに促している。

[IDG Japan]

　Mozilla Foundationでは、セキュリティ問題を回避するために「Firefox 1.0.7」へのアップデートをユーザーに促している。

　MozillaがリリースしたFirefoxブラウザの新バージョンには、同ソフトウェアで最近報告された2つの深刻なセキュリティホールに対するフィックスが含まれている。

　最も大きく報じられたのは、IDN（国際化ドメイン名）機能にまつわる脆弱性だ。Firefoxはこの機能を利用して、アルファベットが使われていないWebページを処理する。

　ダッシュのみで構成される長い名前が付いたホストへのリンクを作成することにより、従来版のFirefoxに任意のコードを実行させることができる。攻撃者がこの欠陥を利用すれば、バッファオーバーフローと呼ばれる攻撃を仕掛けることによって、ユーザーのマシンを乗っ取ることが理論的に可能だ。

素早い対応

　Mozillaの製品担当責任者、クリス・ビアード氏によると、9月21日朝にリリースされたFirefox 1.0.7では、UNIX／Linuxのシェルコマンドの処理方法に関する重大な欠陥も修正された。攻撃者がこの欠陥を利用すれば、許可されていないソフトウェアを一部のシステムで実行することができるという。

　すべてのFirefoxのユーザーが新リリースをダウンロードするよう推奨されている。ビアード氏によると、ブラウザの安定性とセキュリティを向上するための部分的修正も新リリースに盛り込まれているという。

　IDNのバグは、セキュリティ研究者のトム・フェリス氏によって発見されたもので、9月9日にセキュリティメーリングリスト「Full Disclosure」への投稿を通じて公表された。その日のうちに、Mozillaは対策を公表した。これはIDN機能を無効にするというもの。「1.0.7リリースでは、この問題が修正された」とビアード氏は語る。

　ビアード氏によると、Mozillaでは「Mozilla Suite」ブラウザでも同様のアップデートを予定しているという。このアップデートは9月25日までにリリースされる見込みだ（訳注：9月21日に修正版がリリースされた）。

　またMozillaでは、Firefoxブラウザの次期バージョンのテストも行っている。現在、β版が提供されており、「Firefox 1.5」としてリリースされる予定だ。