futuremix

Secunia の勧告 によると、先日 1.0 正式版がリリースされた Mozilla Firefox ですが、0.x (Preview Release 含む) に複数の欠陥が見つかっています。

1つ目は /dev/tty0 などのローカルデバイスをリモートファイル中に指定することにより DoS 攻撃になるというもの。Windows でもローカルファイルの存在有無が知られてしまいます。(Bug 69070)

2つ目はファイルダウンロードのダイアログボックスで、ファイル名が切り捨てられ、詐称される可能性があるというもの。(Bug 234416)

3つ目は Mac OS X で誰でも書き込み可能な状態でインストールされ、ローカルユーザーが権限を昇格できてしまう可能性があるというもの。(Bug 261527 現在アクセスできないようになっています。)

これらは 1.0 正式版では修正されているので早めに乗り換えましょう。

またこれとは別に、少し前ですが、Firefox 0.x、Thunderbird 0.x、Mozilla 1.7.x にヘルパーアプリやメールの添付ファイルなどが /tmp に展開される際に悪意のあるローカルユーザに盗み見られる可能性があると指摘されています。(Bug 251297) こちらも Firefox 1.0 では修正されています。Thunderbird 0.9 で修正されているかどうかは不明です。