logo

FirefoxとMozillaの新版、まもなくリリースに--未公開の脆弱性に対応

Joris Evers (CNET News.com)2005年09月15日 13時51分
  • このエントリーをはてなブックマークに追加

 Mozilla Foundationの関係者は米国時間14日、同グループが「Firefox」と「Mozilla」 の両ブラウザの新バージョンをまもなくリリースする計画であることを明らかにした。各ブラウザの新バージョンでは、先ごろ公表された深刻なセキュリティバグをはじめとする複数の脆弱性が修正されるという。

 同団体が今回のようなポイントリリースを決断した背景には、先週、International Domain Names(IDN)の処理方法に関して両ブラウザに問題があることが明らかにされたという事情がある。IDNとは各国独自の言語を使うドメイン名のことで、攻撃者はこの脆弱性を悪用して、ユーザーの気付かないうちに悪質なソフトウェアをPC上で実行することができてしまう。ハッカーらは現在この脆弱性を悪用するプログラムの開発を進めているといわれている。

 Mozilla Foundationのエンジニアリング担当ディレクターのMike Schroepferは、「ユーザーに影響を及ぼしかねない問題について報告を受け、われわれは、ただちに選択肢の検討を始めた」と述べた。同団体では現在、IDNの脆弱性に対処した「Firefox version 1.0.7」および「Mozilla version 1.7.12」のテストをしている。「(新バージョンを)できるだけ早くリリースしたい」(Schroepfer)

 同氏によれば、現在行われているテストは、これらの新バージョンが互換性問題を引き起こさないことを確認するためのものだという。

 また新バージョンでは、IDN脆弱性の修正に加え、機能面での修正が1件、未公開のセキュリティ問題に対する修正が複数件施されていると、Schroepferは述べる。

 FirefoxやMozillaブラウザの配布や開発のとりまとめを行うMozilla Foundationは、IDNの脆弱性について、問題の公開から24時間以内に対応し、暫定版の修正パッチをリリースしていた。同氏は、この暫定パッチがIDNの機能を無効にするものだと述べたうえで、現在テスト中のアップデート版では、脆弱性が修正され、IDNが再び有効になると説明した。

 Mozilla Foundationにとって、IDNの処理方法に関する脆弱性が見つかるのは、今回が初めてではない。同団体は、ドメイン名を偽装して行われるフィッシング詐欺に対応すためのセキュリティフィックスを2月にリリースしている。

 Mozilla FoundationやオープンソースコミュニティがIDNの脆弱性に対処しようと取り組む過程で、同脆弱性の発見者であるTom Ferrisは、Firefoxの脆弱性をもう1つ発見したことを明らかにしている。Ferrisは14日、「Firefox1.5 ベータ1」にも前の週に自分が公開したのと同じようなIDN脆弱性があると述べた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

-PR-企画特集