NEWS(11/09/29 16:46)
「Firefox 7」「Thunderbird 7」などで修正された脆弱性が公表
全10件で深刻度の内訳は“最高”が7件、“高”が1件、“中”が2件
Mozillaは27日、「Firefox 7」「Firefox 3.6.23」「Thunderbird 7」「Thunderbird 3.1.15」を一斉公開した。これらの製品には脆弱性の修正も含まれており、その内容がMozilla製品のセキュリティ情報をまとめたWebサイト“セキュリティセンター”で公表されている。
それによると、今回修正された脆弱性は全10件で、その深刻度の内訳は、4段階中最高の“最高”が7件、4段階中上から2番目の“高”が1件、4段階中上から3番目の“中”が2件となっている。各製品およびバージョンにおける対応状況は以下の通り。なお、執筆時現在、「Thunderbird 3.1.15」で修正された脆弱性の内容は公開されていない。
| 深刻度 | Fx 7 | Fx 3.6.23 | Tb 7 | Tb 3.1.15 | 内容 | |
|---|---|---|---|---|---|---|
| MFSA 2011-45 | 中 | ○ | - | - | - | 動作データからキー操作が推測できる |
| MFSA 2011-44 | 最高 | ○ | - | ○ | - | OGGヘッダーの読み込みにおける解放後使用の問題 |
| MFSA 2011-43 | 最高 | ○ | - | - | - | “loadSubScript”によって“XPCNativeWrapper”のスコープ引数が公開される |
| MFSA 2011-42 | 最高 | ○ | - | ○ | - | 悪用の恐れがあるYARR正規表現ライブラリの不正終了 |
| MFSA 2011-41 | 最高 | ○ | - | - | - | 悪用の恐れがあるWebGLの不正終了 |
| MFSA 2011-40 | 最高 | ○ | ○ | ○ | ? | [Enter]キーの押下継続によるコードのインストール |
| MFSA 2011-39 | 中 | ○ | ○ | ○ | ? | CRLFインジェクションによる複数Locationヘッダーへの対策 |
| MFSA 2011-38 | 高 | ● | ○ | ● | ? | プラグインと隠ぺいされた“window.location”オブジェクトを通じたXSS |
| MFSA 2011-37 | 最高 | - | ○ | - | - | “RegExp”を使用する際に整数オーバーフローが発生 |
| MFSA 2011-36 | 最高 | ○ | ○ | ○ | ? | さまざまなメモリ安全性の問題 |
(○:本バージョンで修正済み。●:以前のバージョンで修正済み。-:影響しない脆弱性。?:不明。)
なお、高速リリースサイクルが適用されない旧バージョンとなる「Firefox 3.6」は最短で2011年9月に、「Thunderbird 3.1」は最短で2011年12月に、それぞれサポートが終了する予定だったが、7月に設立された法人ユーザーワーキンググループで法人向けサポートの方針が決まるまではサポートが継続される見込み。現在、延長サポート版の提供が提案されているという。