モジラ、「Firefox」のセキュリティアップデートをリリース

　Mozillaは米国時間2月23日、Windows、Mac、およびLinuxの各ユーザー用に、「Firefox」ブラウザのアップデートをリリースしたことを発表した。

　Mozillaは同組織の開発サイトに、「セキュリティに関する修正のため、Firefoxユーザー全員にこれら最新リリースへのアップグレードを強く推奨する」と書き込んでいる。

　Mozillaのエンジニアリング担当バイスプレジデントMike Schroepfer氏は声明を出し、「このアップデートは、location.hostnameの脆弱性をはじめ、さまざまなセキュリティや安定性の問題を解消する」と述べた。

　Schroepfer氏が言及しているlocation.hostnameの脆弱性は、Firefoxのクッキーに関するもので、ポーランド在住の「倫理派ハッカー」Michal Zalewski氏が発見した。

　Zalewski氏は、自ら開発した概念実証コードを2月中旬にセキュリティ専門家向けのメーリングリストに投稿した。同氏の投稿によると、Firefoxの脆弱性は、クッキー、ウェブサイト設定のパーミッション、そしてパスワードをハッカーが好きなように設定および変更できるようにしてしまうという。多大な影響を及ぼすこの脆弱性に対処する修正は、Firefoxの開発者らが先々週に既に用意していた。

　今回のアップデートには、この問題を修正するパッチのほか、クラッシュを引き起こすメモリ破壊に関連した深刻な脆弱性に対処するパッチも含まれている。この脆弱性を放置したままメールでJavaScriptを使っていると攻撃される可能性がある。なお、MozillaはメールでのJavaScriptの利用に「強く反対」している。

　Schroepfer氏は、「開発貢献者の尽力のおかげで、これらの問題に早急に対応し、Firefoxユーザーが直面するセキュリティのリスクを最小限に抑えることができた」と語っている。

　公開されたアップデートはFirefoxの2.0.0.2と1.5.0.10。37種類の言語に対応しており、Mozillaの公式サイトから入手できる。また、米国時間23日午後の時点では、ヘルプメニューから「Check for Updates」を選ぶ方法でも入手可能になる予定。