Mozilla Firefox 2.0.0.6 がリリースされた
Mozilla Firefox 2.0.0.6 がリリースされた。今回のブラウザアップグレードでは二つのセキュリティに関する不具合を修正した。詳細は Mozilla Foundation のセキュリティ・アドバリザリのページの Firefox 2.0.0.6 セクションに記載されている。
二つの不具合のうちの深刻なほうは、Firefox がヘルパーアプリケーションに渡す URL 中のスペースとダブルクォーテーションをパーセントエンコーディングしていなかったことに関するもので、悪意を持ったウェブページが潜在的に危険なコマンドライン引数でプログラムを起動することを許してしまう。もう一つの脆弱性は、アドオンに関連した権限昇格の不具合で、Firefox 2.0.0.5 で誤って取り込まれてしまったものである。
URL のプロトコルの扱いに関する不具合は、Firefox 2.0.0.5 のリリースで修正された、firefoxurl:// の URL の脆弱性を悪用するものと同様のものである。当初の firefoxurl:// の URL の脆弱性では、攻撃者は Microsoft Internet Explorer を使用し、Firefox を悪意を持ったコマンドライン引数で起動することができた。Firefox 2.0.0.6 で修正された不具合においては、Firefox は攻撃者が危険な引数で他のアプリケーションを起動するための媒介として使用される。この脆弱性を利用すると、場所が知られているどのようなプログラムでも、潜在的に危険なコマンドライン引数を渡しながら次々と起動することができるかもしれない。
外部のアプリケーションに渡すデータが(比較的)安全であるかを確認するのが Firefox の責任であるかどうかは議論の余地がある。当初の firefoxurl:// の URL に関する脆弱性が発見された時、Microsoft は IE には全く責任がないと主張した。しかしながら、Mozilla はその時、IE に責任があると主張し続けたのに、Firefox における同様の問題を修正しないのは偽善的になっていたかもしれない。Mozilla Security Blog の URLのプロトコルの扱いにおける不具合についての投稿は、「徹底的な防御は人々を守る最良の手段である」と述べている(ウェブログの投稿は Windows だけが影響を受けると述べているが、バグ 389106 における議論は Linux と Mac OS X にも同様の脆弱性があるかもしれないことを示している。)
Firefox は、ほとんどのヘルパーアプリケーションが起動する前に確認のダイアログを表示し、コマンドライン引数を表示するので、脆弱なバージョンを使用しているユーザは攻撃に関する何らかの警告を受け取るだろう(ただし、安全か悪意をもったコマンドラインかを区別できるぐらい精通しているのは経験豊富な人だけかもしれない)。しかしながら、いくつかの電子メールやニュースグループに関連したプロトコル (特に mailto や news, nntp, snews) は外部アプリケーションを起動する前に確認のダイアログを表示しないため、脆弱なメールやニュースグループのアプリケーションは、ユーザの最小限の操作で悪用される可能性がある (Thunderbird 2.0.0.4 とそれ以前のバージョンは、firefoxurl:// 問題の応用であることから、そのようなアプリケーションの一つである)。
Firefox 2.0.0.6 についてのより詳しい説明は Firefox 2.0.0.6 のリリースノートに記載されている。この新しいバージョンは Firefox 2.0.0.6 の製品ページからダウンロード可能である。既存の Firefox 2 ユーザでソフトウェアアップデート機能を有効にしている場合(デフォルトではオンになっている) は、アップグレードを促すプロンプトが表示されるだろう。Thunderbird (2 系も 1.5 系も両方) と SeaMonkey の同等のリリースも近々予定されている。
[ 原文 / 2007年7月31日(火) ]
