Mozilla Foundation は9日、オープンソース Web ブラウザの更新版『Firefox 3.6.13
』を公開した。
更新版では少なくとも11件のセキュリティ問題に対応したが、このうちの9件が「最高
」の重要度に分類されており、10月末にリリースされた『Firefox 3.6.12』で「最高」の
脆弱性が1件しかなかったのとは対照的だ。
Firefox 3.6.13 で修正された深刻なセキュリティ問題には、複数のメモリ安全性
に関する問題が含まれているが、Mozilla はこれを1つのセキュリティ勧告としてまとめ
ている。これらのメモリ安全性の問題の1つは、著名なセキュリティ研究者の「Nils」氏
が報告したものだ。同氏は、2009年に開催された脆弱性発見コンテスト『Pwn2Own』で、
それまで報告されていなかったゼロデイ脆弱性を利用して『Internet Explorer 8』と
Firefox 3.x 系列ブラウザに攻撃を仕掛ける方法を披露している。
バージョン 3.6.13 では、『OpenType』フォントに関するセキュリティ問題も修正され
た。この問題は、Red Hat セキュリティ対策チームの Marc Schoenefeld 氏と Mozilla
のセキュリティ研究者 Christoph Diehl 氏によってそれぞれ報告されていた。悪意ある
OpenType フォントによってユーザーが危険に晒されるリスクを減らすため、更新版には
新しい OTS フォントサニタイザが搭載された。
今回の新しい Firefox 安定版は、次世代の Web ブラウザ『Firefox 4』の開発が行
なわれている中でのリリースとなった。現在 Firefox 4 のベータ版は、バージョン7が
リリースされている。Firefox 4 では、Web ブラウザをより安全に利用できるようにする
ための数多くの機能強化が行なわれる予定だ。
http://www.yomiuri.co.jp/net/security/s-news/20101213-OYT8T00139.htm