Mozilla Foundationの関係者は米国時間14日、同グループが「Firefox」と「Mozilla」 の両ブラウザの新バージョンをまもなくリリースする計画であることを明らかにした。各ブラウザの新バージョンでは、先ごろ公表された深刻なセキュリティバグをはじめとする複数の脆弱性が修正されるという。
同団体が今回のようなポイントリリースを決断した背景には、先週、International Domain Names(IDN)の処理方法に関して両ブラウザに問題があることが明らかにされたという事情がある。IDNとは各国独自の言語を使うドメイン名のことで、攻撃者はこの脆弱性を悪用して、ユーザーの気付かないうちに悪質なソフトウェアをPC上で実行することができてしまう。ハッカーらは現在この脆弱性を悪用するプログラムの開発を進めているといわれている。
Mozilla Foundationのエンジニアリング担当ディレクターのMike Schroepferは、「ユーザーに影響を及ぼしかねない問題について報告を受け、われわれは、ただちに選択肢の検討を始めた」と述べた。同団体では現在、IDNの脆弱性に対処した「Firefox version 1.0.7」および「Mozilla version 1.7.12」のテストをしている。「(新バージョンを)できるだけ早くリリースしたい」(Schroepfer)
同氏によれば、現在行われているテストは、これらの新バージョンが互換性問題を引き起こさないことを確認するためのものだという。
また新バージョンでは、IDN脆弱性の修正に加え、機能面での修正が1件、未公開のセキュリティ問題に対する修正が複数件施されていると、Schroepferは述べる。
FirefoxやMozillaブラウザの配布や開発のとりまとめを行うMozilla Foundationは、IDNの脆弱性について、問題の公開から24時間以内に対応し、暫定版の修正パッチをリリースしていた。同氏は、この暫定パッチがIDNの機能を無効にするものだと述べたうえで、現在テスト中のアップデート版では、脆弱性が修正され、IDNが再び有効になると説明した。
Mozilla Foundationにとって、IDNの処理方法に関する脆弱性が見つかるのは、今回が初めてではない。同団体は、ドメイン名を偽装して行われるフィッシング詐欺に対応すためのセキュリティフィックスを2月にリリースしている。
Mozilla FoundationやオープンソースコミュニティがIDNの脆弱性に対処しようと取り組む過程で、同脆弱性の発見者であるTom Ferrisは、Firefoxの脆弱性をもう1つ発見したことを明らかにしている。Ferrisは14日、「Firefox1.5 ベータ1」にも前の週に自分が公開したのと同じようなIDN脆弱性があると述べた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」