Firefoxが新版リリース,脆弱性計8件を修正 Firefox 2.0.0.19は修正ミスのため2.9.9.20が再リリース

インターネット セキュリティ

 Mozillaは16日,WebブラウザFirefox 3.0.5」「Firefox 2.0.0.19」をリリースした。Windows版, Mac OS X版, Linux版など複数が公開された.「Firefox 3.0.5」では計8件の脆弱性が修正され,「Firefox 2.0.0.19」でも同様の脆弱性や他にも2件,計10件の脆弱性が修正された.「Firefox 2.0.0.19」に関しては,今回が最終のリリースであり,今後の更新もなくなるため,Firefox 3.xへのアップグレードが推奨されている.しかしながら,「Firefox 2.0.0.19」は修正に不備があったようで,さっそく「Firefox 2.0.0.20」がリリースされている.今度こそ,「Firefox 2.0.0.20」で最後の更新になるようだが.

 「Firefox 2.0.0.19」で修正ミスがあったのは,「スクリプトリダイレクトエラーメッセージを通じたクロスドメインデータ読み取り(MFSA 2008-65)」に関する脆弱性1件.「Firefox 2.0.0.20」では改めてこの脆弱性が修正されている.

 参考:

 [1] 「Firefox 3.0.5」「Firefox 2.0.0.19」公開、脆弱性8件を修正 - INTERNETWatch

 [2] Firefoxのアップデート公開、深刻な脆弱性に対処 - ITmedia

 [3] Firefox 3.0 セキュリティアドバイザリ - MOZILLA

 [4] Firefox 2.0.20 arrives with missed patch - heiseSecurity

 [5] Firefox 2.0 セキュリティアドバイザリ - MOZILLA


 今回,修正された脆弱性に関して,INTERNETWatch,ITmediaより下記に引用する.

 Firefox 3.0.5では、セッション復元機能におけるクロスサイトスクリプティングの問題など、合計8件の脆弱性を修正。8件のうち3件は、外部から任意のコードが実行可能になるなど、重要度“最高”の脆弱性とされている。このほか、複数の署名済みXPIを同時にインストールすると、過去のバージョンのFirefoxが起動しなくなる問題などが修正されている。
     「Firefox 3.0.5」「Firefox 2.0.0.19」公開、脆弱性8件を修正 - INTERNETWatchより引用

新たに公開したFirefox 3.0.5とFirefox 2.0.0.19では計10件の脆弱性を修正した。特にセッション復元機能におけるクロスサイトスクリプティングXSS)の脆弱性(MFSA 2008-69)、XSSJavaScriptの特権昇格(MFSA 2008-68)、フィードプレビューを通じたXSS攻撃の追加修正(MFSA 2008-62、Firefox 2のみ)、メモリ破壊の形跡があるクラッシュ(MFSA 2008-60)の4件は危険度が高く、重要度「最高」に区分けされている。

 これら脆弱性の一部はThunderbirdSeaMonkeyにも影響し、SeaMonkeyはアップデート版の1.1.14が公開された。Thunderbirdは2.0.0.19で対処するとみられる。
     Firefoxのアップデート公開、深刻な脆弱性に対処 - ITmediaより引用

 また,この他,重要度が「高」である「スクリプトリダイレクトエラーメッセージを通じたクロスドメインデータ読み取り(MFSA2008-65)」に関して,Windowsでも影響を受ける脆弱性にもかかわらず,修正されていなかった.そのため,急遽Firefox 2.0.0.20がリリースされた.

Firefox 2.0.0.19 の Windows 版が、この問題の修正が含まれない状態でリリースされてしまいました (他のプラットフォーム向けは正しくパッチが適用されていました)。この過失を修正するため Windows 版の Firefox 2.0.0.20 がリリースされました。
     Mozilla Foundation セキュリティアドバイザリ 2008-65 - MOZILLA

 したがって,今回すべてのプラットフォームに関してFirefox 2.0.0.20がリリースされているが,Windows版以外に関してはまったく変わりがない.ただたんに,各プラットフォームのバージョンの整合性を保つために連動させただけらしい(参考[4]).

 MOZILLAではあくまでFirefox 3.xにアップデートするように推奨している.Firefox 2.x系は既にフィッシング対策機能の提供が打ち切られ,その機能を利用することが出来ない.また,今後はFirefox 2.x系のセキュリティアップデートはない・・とのことなので,徐々にFirefox 3.xに移行していくことが推奨される.

参考文献

 [1] 「Firefox 3.0.5」「Firefox 2.0.0.19」公開、脆弱性8件を修正 - INTERNETWatch

 [2] Firefoxのアップデート公開、深刻な脆弱性に対処 - ITmedia

 [3] Firefox 3.0 セキュリティアドバイザリ - MOZILLA

 [4] Firefox 2.0.20 arrives with missed patch - heiseSecurity

 [5] Firefox 2.0 セキュリティアドバイザリ - MOZILLA

 [6] Mozilla Foundation セキュリティアドバイザリ 2008-65 - MOZILLA