「Firefox 16」再リリース--公開直後に発覚した脆弱性を修正

　Mozillaが米国時間10月11日、「Firefox」の新しいバージョンをリリースした。このウェブブラウザは、セキュリティ上の脆弱性を修正するために1日前に公開を停止されていたものだ。

　悪意のあるサイトによってユーザーが訪れたことのあるサイトを判別される可能性があるという脆弱性を修正するため、「Firefox 16」は10日、リリース翌日にMozillaのインストーラページから外された。MozillaのSecurity Assuranceのディレクターを務めるMichael Coates氏が明らかにした。この脆弱性は、セキュリティ研究家のGareth Heyes氏によって10日に公表され、脆弱性のデモを示す概念実証コードが同氏によって公開された。

　Mozillaはこの脆弱性が悪用された証拠はないと述べたが、同社はバージョン16にアップグレードしたユーザーに対し、この脆弱性の影響を受けないとみられるバージョン15.0.1にダウングレードするよう推奨していた。

　新しいバージョンのFirefox 16.0.1は11日正午、Mozillaのアップグレードサーバにリリースされ、Firefox 16をダウンロードしていたユーザーにプッシュ配信された。「Android」版Firefoxの修正は10日夜にリリースされた。

　Mozillaはまた、重大と位置付けたこの脆弱性の特性に関する多数の情報を提供した。

　Mozillaは添付のアドバイザリの中で、「Mozillaセキュリティ研究家『moz_bug_r_a4』は、defaultValue()でのセキュリティチェックを実行せずにセキュリティラッパーがアンラップされるリグレッションを報告した」と述べた。

　Firefoxの新しいバージョンは、HTML5のサポートをともなって9日に登場した。これは、HTML5が十分に熟成し、安定性を損なわずにブラウザ内で実行できるとMozillaが判断したことを示している。新しいバージョンには、CSS3 Animations、Transforms、Transitions、Image Values、Values and Units、IndexedDBなどが含まれている。