山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 米国時間2008年6月17日に,米MozillaはオープンソースWebブラウザの最新版である「Firefox 3」を,日本語版も含めてリリースしました(関連記事:Mozillaが最新版Webブラウザ「Firefox 3」を公開,ダウンロード件数は順調に増加)。これに伴い,ある企業から『リリース当日に早速セキュリティ・ホールが発見されたらしい。システム管理者として従来の「Firefox 2」と最新版の「Firefox 3」のどちらを社内で使わせるべきか,アドバイスしてほしい』と相談を受けました。

 Firefox 3.0には新機能として,ブックマークや閲覧履歴からWebページを簡単に見つけられる「スマートロケーションバー」や,簡単にブックマーク,検索,整理可能な「ワンクリックブックマーク」などが実装されました(関連記事1:【最新ブラウザが描く次世代Webの輪郭】目的のサイトを見つけやすく,ブックマークなどの同期も,関連記事2:「Firefox 3」のセキュリティ機能について)。

 ただ,システム管理者が一番気にしなければならないのは,最新バージョンの新機能ではありません。前回コラムの「Adobe Reader」の場合と同様に

  1. 最新バージョンに既知のセキュリティ・ホールは残っていないか
  2. 最新バージョンの導入時の注意事項はないか
  3. 従来バージョンは,いつ使用できなくなるのか

といった点の見極めが重要です。

既知のセキュリティ・ホール

 まず,「最新バージョンに,既知のセキュリティ・ホールは残っていないか」をチェックしてみましょう。Mozilla Japanが公開するFirefox 3.0のセキュリティ・レポートである「Firefox 3.0 セキュリティアドバイザリ」をチェックしてみます。

 現在の最新バージョンは,「Firefox 3.0.1」(7月16日リリース)であり,「Firefox 3.0.1」では,3件の重要度が「最高」のセキュリティ・ホールが修正されたことが分かります。

 では,リリース当日に発見されたセキュリティ・ホールは修正されているのでしょうか?(関連記事:新型ブラウザー「Firefox 3」に早くも脆弱性報告,詳細は未公表

 このセキュリティ・ホールはTippingPointゼロデイ イニシアティブの研究者が発見したもので,当初は未修正一覧である「TippingPointゼロデイ イニシアティブ公開予定アドバイザリ」に管理番号と影響度だけが記載されていました。

 リリース当日に未修正のセキュリティ・ホールが報告され,セキュリティ・ホールの詳細が伏せられていたとはいえ,危険な状態が約1カ月続きました。

 7月になって,ようやく「Firefox 3」をお勧めできる状況となりました。対応済みバージョンである「Firefox 3.0.1」リリース後の7月17日に,「TippingPointゼロデイ イニシアティブ公開済みアドバイザリ」では,「Mozilla Firefox CSSValue Array Memory Corruption Vulnerability」として概要レポートが公開されました(関連記事:「Firefox 3」に初めてのアップデート版,危険な脆弱性を3件修正)。Mozilla Japanからは,「Mozilla Foundation セキュリティアドバイザリ 2008-34」として公開されています。
(本セキュリティ・ホールは,「Firefox 2」にも同様に存在し,「Firefox 3」の前日に対応版”2.0.0.16”はリリースされています)

 原稿執筆時点(7月28日)にチェックした範囲では,「Firefox 3」に既知のセキュリティ・ホールは残っていない状況のようです。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら