Mozilla Firefox 2.0.0.10 がリリースされた
Mozilla は米国時間 2007 年 11 月 26 日、Mozilla Firefox 2.0.0.10 をリリースした。今回のアップデートでは 三つのセキュリティホールが修正されている。詳細は Mozilla Japan のセキュリティアドバイザリに記載されており、いずれも重要度で上から二番目に位置づけられている。また、2.0.0.8 でユーザインターフェイス上で表示が省略されているときに “…” (3 dots) で表記されていたものが “…” (U+2026 ‘HORIZONTAL ELLIPSIS’) に変更されたことは記憶に新しいが、2.0.0.10 でこれはバックアウトされた。
一つ目のバグは jar: URI スキーマによるクロスサイトスクリプティング問題であり、攻撃者が個人情報を盗み出すことが可能であった(ログイン状態の Gmail ユーザの個人情報を盗み出す手法が報告されている)。二つ目は安定性に関する三つのバグであり、特定の状況下でメモリ破壊の形跡が見られ、任意のコードが実行可能であった。最後の問題は window.location の競合を通じて HTTP リファラが偽装可能であったというものである。
既存の Firefox ユーザには、ソフトウェアアップデート経由あるいは OS の更新機能を通じてこの更新が通知されるだろう。Mozilla Firefox の製品ページからもダウンロードできる。より詳細な情報はリリースノートに記載されている。
Firefox 2.0.0.10 で修正されたすべての脆弱性は最新の SeaMonkey 1.1.6 にも存在する。1.1.7 のアップデートもまもなくだろう。
[ 原文 / 2007年11月27日(火) ]
