Linux/UNIX系OS用の「Mozilla Firefox」及び「Mozilla」の双方に危険な脆弱性が発見された。Mozilla Foundationは9月21日、この脆弱性を解消した「Mozilla Firefox 1.0.7」及び「Mozilla 1.7.12」を公開した。現時点では、「Mozilla Firefox 1.0.7」は英語版と日本語版、「Mozilla 1.7.12」は英語版のみ公開されている。

発見された脆弱性は、別のアプリケーションからMozillaを起動する際などに、Mozillaに引数として渡すURLのチェックが不十分であることが原因。「’」で囲まれURLに埋め込まれているコマンドが、LinuxまたはUNIXのシェルによって実行されてしまうという。また、このバグが悪用されるのは、ブラウザ使用中以外にも起こりうるという。

もう一つのセキュリティ・バグは、IDN（国際化ドメイン名）機能に関係したもの。複数のダッシュだけからなるロング・ネームでホストを指すリンクを作成することで、Firefoxに任意のコードを実行させることができる。攻撃者はこの欠陥を利用してバッファ・オーバーフロー攻撃を仕掛けることができる。

（川原 龍人／びぎねっと）

［関連リンク］
もじら組
Firefox 1.0.7日本語版（もじら組）
Mozilla 1.7.12英語版（もじら組）