発表直後の「Netscape 8」に脆弱性--ネットスケープがアップデートを公開

　「Netscape 8」が発表され、そのセキュリティ機能が大々的にアピールされた次の日には、Netscapeから、同ブラウザの複数の深刻なセキュリティ問題を修復するためのアップデートがリリースされていた。

　米国時間19日にリリースされたNetscape 8は、オープンソースブラウザ「Firefox」バージョン1.0.3の技術を利用して開発されている。Netscapeは、Firefoxに存在した脆弱性はNetscape 8には影響しないと考えていたが、結局、Netscape 8にもセキュリティ上の問題があることが判明した。なお、Firefoxの当該の脆弱性は先週修復され、バージョンが1.0.4へと上がっている。

　Netscapeの広報担当Andrew Weinsteinは米国時間20日、「外部のセキュリティベンダーから、Netscape 8はFirefoxに存在するセキュリティ問題の影響を受けないという、誤った情報を提供された」とし、「セキュリティベンダーの報告に誤りを発見してから数時間以内に、当社は当該のセキュリティ問題を解決し、Netscape 8のアップデート版をリリースした」と述べた。

　米国時間19日遅くに、Netscapeは問題点を修復した「Netscape 8.0.1」を公開している。またNetscape 8の初期バージョンをインストールしているユーザーには、ソフトウェアの自動アップデートを提供する予定だという。だが、Netscapeのアップデート機能はまだ完成しておらず、しばらくの間は、同社のウェブサイト「Netscape.com」からパッチ適用済みのブラウザをダウンロードしなくてはならないと、Weinsteinは話している。

　今回修復が施された脆弱性は、Firefoxブラウザを開発したMozilla Foundationが、先週発表した3件のセキュリティ勧告で詳細を明らかにしたものだった。なかでも最も深刻なのは、攻撃者にユーザーPCの完全なコントロールを与えるおそれのある脆弱性だという。

　Mozillaの開発者らは、Netscapeのこのたびの大失策を厳しく非難している。FirefoxのリードエンジニアBen Goodgerは米国時間19日、自身のブログにコードを掲示し、Netscape 8の脆弱性を実証した。Goodgerは、Firefoxこそより安全性の高いブラウザだと強調している。

　「セキュリティに配慮しているなら、このデモンストレーションを見てほしい。Mozillaの公式リリースの焼き直しであるこうしたブラウザでは、Mozillaが行っているような、迅速なセキュリティアップデートが不可能であることがわかるだろう」（Goodger）