Mozilla製品の不具合や脆弱性に関する情報を取り扱うプロジェクト“Bugzilla”や、デンマークのセキュリティベンダー会社Secuniaは、「Firefox」「Mozilla」の最新版にJavaScriptの処理に起因する脆弱性があることを公表した。

　本脆弱性の具体的内容は、JavaScriptのlambda関数を悪用したWebページを「Firefox」や「Mozilla」で閲覧すると、攻撃者がユーザーのパソコン内のメモリデータをリモートで取得できるというもの。

　本脆弱性が確認されたのは、「Firefox」v1.0.1/1.0.2および「Mozilla」v1.7.6だが、それ以前のバージョンでも影響を受ける可能性があるとのこと。現在、本脆弱性を修正した最新版やパッチは公開されていないため、本脆弱性を回避するには「Firefox」や「Mozilla」のJavaScript機能をオフにすればよい。

　Mozilla製品の開発元であるMozilla Foundationは、各製品の次バージョン開発状況を一般公開するために、ベータ版よりも前の段階にあたるナイトリービルド版をFTPサーバー上に日々アップロードしている。Bugzillaによると、現在FTPサーバー上にある「Firefox」v1.0.3や「Mozilla」v1.7.7のナイトリービルド版では、本脆弱性が修正されているとのこと。このことから開発が順調に進めば、次バージョンの正式版が近いうちに公開されることを予想できる。

　なお、ナイトリービルド版は開発段階のものであり、不具合が発生する可能性もあるため、一般ユーザーはナイトリービルド版の導入を避けたほうがよい。

□Bug 288688 - JS "lambda" replace exposes malloc heap space after end of JS string
https://bugzilla.mozilla.org/show_bug.cgi?id=288688
□Secunia - Advisories - Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
http://secunia.com/advisories/14820/
□Secunia - Advisories - Mozilla Suite JavaScript Engine Information Disclosure Vulnerability
http://secunia.com/advisories/14821/
□窓の杜 - Firefox
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/firefox.html
□窓の杜 - Mozilla
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/mozilla.html

（中井 浩晶）