futuremix

Mozilla より Firefox 3.5.2 と 3.0.13 がリリースされました。2件の最高ランクのセキュリティホールが修正されています。また 3.5.2 については、ICC カラープロファイルを含む画像が、すべてのモニタで正しく表示されるようになったとのことです。

証明書の正規表現パースにおけるヒープオーバーフローは、特別に細工した証明書により、任意のコードを実行される恐れがありました。(CVE-2009-2404)

SSL で保護された通信の情報漏えいは、一部の認証局(CA)が null 文字を含むドメインの証明書を発行を許可し、一部のブラウザでは null 文字の前の部分までを利用するという性質を利用し、対象となるサイトの通信を傍受されるなどの恐れがありました。例えば “PayPal.com\0.example.com” のようなドメインで証明書を作ると、Firefox 上では PayPal.com の SSL 証明書と見なされていたわけです。これに対する修正がされています。(CVE-2009-2408)

これらの脆弱性は、Thunderbird にも影響するということですが、いまのところ Thunderbird のアップデート版は公開されていません。また Firefox 2.0 系列はすでにサポートを終了し、セキュリティアップデートは提供されません。すぐに 3.5 系列にアップグレードしましょう。 また Firefox 3.0 系列のセキュリティ更新の提供は 2010 年 1 月までの予定です。