Firefox 3.5.2 security update release for OpenSolaris
Mozillaは米国時間8月3日、重大な脆弱性2件に対処するため、Firefoxの2つの新バージョン「Firefox 3.5.2」と「Firefox 3.0.13」を公開した。
Mozillaはセキュリティ問題に関するブログ投稿の中で、「すべてのFirefoxユーザーに対し、この最新版へのアップグレードを強く推奨する」と記している。
この脆弱性の一つは、攻撃者が、特別に細工した証明書と呼ばれる認証情報を送信することにより、ユーザーのコンピュータ上で任意のコードを実行できるというものであった。
先週明らかになった2件目の脆弱性は、証明書を使った認証技術における不具合で、攻撃者が暗号化通信を傍受したり、Firefoxの更新を発行したりすることを可能とするものである。The following issue was quoted from "Security Advisories for Firefox 3.5"
Impact key:
- Critical: Vulnerability can be used to run attacker code and install software, requiring no user interaction beyond normal browsing.
- High: Vulnerability can be used to gather sensitive data from sites in other windows or inject data or code into those sites, requiring no more than normal browsing actions.
- Moderate: Vulnerabilities that would otherwise be High or Critical except they only work in uncommon non-default configurations or require the user to perform complicated and/or unlikely steps.
- Low: Minor security vulnerabilities such as Denial of Service attacks, minor data leaks, or spoofs. (Undetectable spoofs of SSL indicia would have "High" impact because those are generally used to steal sensitive data intended for other sites.)
MFSA 2009-46 Chrome privilege escalation due to incorrectly cached wrapper
MFSA 2009-45 Crashes with evidence of memory corruption (rv:1.9.1.2/1.9.0.13)
MFSA 2009-44 Location bar and SSL indicator spoofing via window.open() on invalid URL
MFSA 2009-38 Data corruption with SOCKS5 reply containing DNS name longer than 15 characters
Reference:
MFSA 2009-45 Crashes with evidence of memory corruption (rv:1.9.1.2/1.9.0.13)
MFSA 2009-44 Location bar and SSL indicator spoofing via window.open() on invalid URL
MFSA 2009-38 Data corruption with SOCKS5 reply containing DNS name longer than 15 characters
Reference:
http://opensolaris.org/os/community/desktop/communities/mozilla/development/
Downloads: OpenSolaris-i386, OpenSolaris-sparc
Release Note: http://www.mozilla.com/firefox/3.5.2/releasenotes/
Downloads: OpenSolaris-i386, OpenSolaris-sparc
Release Note: http://www.mozilla.com/firefox/3.5.2/releasenotes/
Firefox 3.5.2 と Firefox 3.0.13 がリリースされた: "MozillaZine.jpより引用”
Mozilla は米国時間 2009 年 8 月 3 日、安定性及びセキュリティ問題を修正した Firefox 3.5.2 と Firefox 3.0.13 をリリースした。
Mozilla は米国時間 2009 年 8 月 3 日、安定性及びセキュリティ問題を修正した Firefox 3.5.2 と Firefox 3.0.13 をリリースした。
Firefox 3.5.2
Firefox 3.5.1 のリリースから僅か 18 日でアップデートとなったわけだが、Firefox 3.5.1 が緊急リリース的な公開であったため、Mozilla のアップデートスケジュールでは Firefox 3.5 のリリース (米国太平洋夏時間 6 月 30 日) から見た場合は予定の日程となるのであろう。
Firefox 3.5.1 のリリースから僅か 18 日でアップデートとなったわけだが、Firefox 3.5.1 が緊急リリース的な公開であったため、Mozilla のアップデートスケジュールでは Firefox 3.5 のリリース (米国太平洋夏時間 6 月 30 日) から見た場合は予定の日程となるのであろう。
このアップデートでのセキュリティ修正は、重要度区分において 2 件の最高、1 件の中、1 件の低の合計 4 件が修正されている。
- MFSA 2009-46 誤ってキャッシュされたラッパーによるクローム特権昇格
- MFSA 2009-45 メモリ破壊の形跡があるクラッシュ (rv:1.9.1.2/1.9.0.13)
- MFSA 2009-44 不正な URL での window.open() を通じたロケーションバーと SSL 表示の偽装
- MFSA 2009-38 15 文字以上の DNS 名を含む SOCKS5 応答によるデータ破損
修正された問題は 66 件となっており、これらは Bugzilla (英語)より確認できる。この中には先日の MozillaZine.jp ニュースURL バーのなりすまし脆弱性でもお伝えした、URL バーでの偽装問題 Bug 451898 – URL spoofing bug involving Firefox’s error pages and document.write に対する修正や、Firefox 3.5.1 の修正に含まれていた Windows システム上で Firefox の起動に時間がかかる問題:Bug 501605 – very slow startup for Firefox 3.5 due to accessing IE Internet Temporary Files and Windows Temp folder に新しいパッチが投入され、追加修正されている。その他では高性能ディスプレーを使用する Windows 7 環境で報告された、ICC プロファイルを含む画像が「暗く」レンダリングされてしまう問題 (Bug 497363 – qcms renders wrong colors on some “good” monitors) への修正も含まれている。
Firefox 3.5.2 での改善や既知の問題などの一般的な情報は Firefox 3.5.2 リリースノート を、修正されたセキュリティ問題の詳細は Firefox 3.5 セキュリティアドバイザリ より、修正されたバグは Bugzilla@Mozilla – Bug List (英語) から確認することができる。
Firefox 3.5.2 は Windows, Mac そして Linux 版が用意され、Mozilla ウェブサイトよりダウンロードできるほか、既存の Firefox 3.5 ユーザには自動アップデート経由で通知されるが、ヘルプメニューの “ソフトウェアの更新を確認” より手動で確認することも可能だ。
- ダウンロード :
- Mozilla Japan
- リリースノート :
- Firefox 3.5.2 リリースノート
- Mozilla Foundation セキュリティアドバイザリ :
- Firefox 3.5 セキュリティアドバイザリ
- 修正されたバグ :
- Bug List (英語)
Firefox 3.0.x の安定性及びセキュリティ向上の継続的プロセスの一環である Firefox 3.0.13 もリリースされている。
このアップデートでは、セキュリティ関連では重要度区分において 2 件の最高と 1 件の中の合計 3 件について修正が行われており、これらは Firefox 3.5.2 で修正された内容と同じである。
- MFSA 2009-43 証明書の正規表現パースにおけるヒープオーバーフロー
- MFSA 2009-42 SSL で保護された通信の情報漏えい
- MFSA 2009-44 不正な URL での window.open() を通じたロケーションバーと SSL 表示の偽装
また修正された問題は 4 件で、この中にはURL バーでの偽装問題 Bug 451898 – URL spoofing bug involving Firefox’s error pages and document.write に対する修正も含まれている。
Firefox 3.0.13 での改善や既知の問題などの一般的な情報については Firefox 3 リリースノートFirefox 3.0 セキュリティアドバイザリ より、修正されたバグは Bugzilla@Mozilla Bug List (英語) から確認することができる。 を、修正されたセキュリティ問題の詳細は
Firefox 3.0.13 は Windows, Mac そして Linux 版が用意され、Mozilla ウェブサイトよりダウンロードできるほか、既存の Firefox 3.0.x ユーザには自動アップデート経由で通知されるが、ヘルプメニューの “ソフトウェアの更新を確認” より手動で確認することも可能だ。
なお、Firefox 3.0.x のセキュリティ更新は 2010 年 1 月までの提供と発表されている。Mozilla では Firefox の最新バージョンである Firefox 3.5.2 へのアップデートを勧めている。
なお、Firefox 3.0.x のセキュリティ更新は 2010 年 1 月までの提供と発表されている。Mozilla では Firefox の最新バージョンである Firefox 3.5.2 へのアップデートを勧めている。
- ダウンロード :
- Firefox 旧バージョンのダウンロード
- リリースノート :
- Firefox 3 リリースノート
- Mozilla Foundation セキュリティアドバイザリ :
- Firefox 3.0 セキュリティアドバイザリ
- 修正されたバグ :
- Bug List (英語)
Firefox 3.5.2 added JLP-xpi with OpenSolaris 2009.06 snv_111b
0 Comments::
Post a Comment