Fx 3.5.2 – セキュリティ問題とICCカラープロファイル画像表示の不具合を修正
Mozilla Foundationは8月3日(米国時間)、同社オープンソースWebブラウザ「Firefox」について、危険度が最高 (Critical) とされる2件の脆弱性を含む、3件のセキュリティ問題などを修正した「Firefox 3.5.2」を公開しました(リリースノート)。
「3.5.2 Beta」は既に公開されていて、今日にも正式版がリリースされるとみられていました。
「Firefox 3.5.2」は、Mac OS X、Windows、Linux版がそれぞれ用意されています。
今回、セキュリティ問題として修正されたのは、危険度が「最高」レベルのものが2件、「低」レベルが1件となっています。
なお、危険度の高い脆弱性は、Firefoxと同じブラウザエンジンを利用しているThunderbird とSeaMonkey にも影響します。
Mozillaのセキュリティアドバイザリによると、危険度が「最高」とされる「証明書の正規表現パースにおけるヒープオーバーフロー」(MFSA 2009-43)では、特別に細工した証明書をクライアントに示して、任意のコード実行の危険性があるといいます(Firefox 3.5では影響無し/Thunderbird、SeaMonkey、NSSに影響)。
もう一方の危険度「最高」レベルの脆弱性「SSLで保護された通信の情報漏えい」(MFSA 2009-42)では、SSLクライアントとサーバ証明書を発行する認証局(CA)の間で、SSL証明書に書かれているドメイン名の扱いに食い違いがみられることが報告されており、攻撃者はターゲットに定めたサイトで機能する証明書を取得することが可能になるといいます(Thunderbird、SeaMonkey、NSSにも影響)。
上記セキュリティの対処以外にも、ICCカラープロファイルを含む画像が、すべてのモニタで正しく表示されるように修正されています。
MozillaはFirefoxユーザに対し、危険度の高い脆弱性を修正するパッチを含む最新版v3.5.2へのアップデートを呼びかけています。