モジラ財団、Firefoxのセキュリティパッチを公開

　Mozilla Foundationは米国時間23日、「Firefox」ブラウザの重大なセキュリティ脆弱性に対処するパッチを公開した。同団体はユーザーに対し、手元のソフトウェアをアップデートするよう呼びかけている。

　MozillaのエンジニアリングディレクターChris Hofmannによると、このパッチは、Netscapeから受け継いだコードにあったバッファオーバーフローの脆弱性に対処するものだという。このコードは、FirefoxでもGIFイメージのアニメーションに利用されているという。これまでにも、MozillaブラウザやMicrosoftのInternet Explorer（IE）で、同様の脆弱性は発見されている。攻撃者は、この脆弱性を悪用して画像ファイルを巧妙に作成し、ウェブサイトのページに埋め込むことができる。ユーザーは、その画像を含むウェブサイトにアクセスするだけで被害にあってしまう。

　この欠陥はネットワークを監視するInternet Security Systemsによって発見された。Hofmannは、問題が公になる前にパッチを用意したと述べる。

　Mozilla Foundationは、問題に対処したFirefoxバージョン1.02を23日にリリースし、すべてのユーザーに対して、ダウンロードとパッチの適用を促している。

　先ごろ公開されたある調査結果からも分かるように、Firefoxのセキュリティを疑問視する声があることも事実だ。セキュリティ対策企業のSymantecは、今週発表したInternet Threat Reportのなかで、2004年後半に報告された脆弱性の数が、Firefoxは21件、IEは13件だったことを明らかにしている。

　しかし、Firefoxでは「極めて深刻」とされた脆弱性がわずか7件だった一方、IEは9件だった。

　MozillaのHofmannは、このデータについて、開発者がFirefoxコードのセキュリティ改善に努めていることを示している、と述べた。

　「データが示すように、欠陥の深刻度は比較的低い。Microsoftのブラウザの方がはるかに厄介な攻撃を受けやすい」（Hofmann）

　MozillaのプレジデントMitchell Bakerは22日、Firefoxについて、人気がさらに高まって普及が進んでも、IEが直面しているようなセキュリティ問題の影響をたびたび受けることはないと、述べた。

　Mozillaでは、今回対処したのと同様のセキュリティ脆弱性がないかどうかを確かめるため、Firefoxブラウザの約200万行のコードを見直しを進めている。Mozillaは2004年8月より、ブラウザにあるセキュリティ問題を発見した人に、賞金を提供するプログラムを開始している。開発者らは、同ブラウザに残るレガシーコードを重点的にチェックしているところだ。