今月はすべてのブラウザの修正をまとめてご紹介します。GoogleはChrome 21をリリースし、PDFビューア関連の危険なバグを複数修正しました。Mozillaは、ドラッグ&ドロップに関する興味深いバグなど、例年よりも多くの脆弱性に対処しました。AppleはSafari 6.0をリリースし、複数の個人情報漏洩の可能性を封じ込めました。
Google Chrome 21周年
Googleは、Google Chrome Stableチャンネル向けに複数のセキュリティアップデートをリリースしました。これらのアップデートは、OS XとLinux(Chrome 21.0.1180.57にアップデート済み)、およびWindowsとChrome Frame(Chrome 21.0.1180.60)に影響します。
Chrome 21には、15件のセキュリティ脆弱性を修正するパッチが含まれています。そのうち1件は「重大」と評価され、その他の脆弱性は6件が「高」、5件が「中」、3件が「低」と評価されています。これらの脆弱性のうち5件はChromeの組み込みPDFビューアに影響し、メモリ破損、プログラムクラッシュ、その他の予期せぬ動作を引き起こす可能性がありました。Googleはまた、Chromeのドラッグ&ドロップの実装を介して攻撃者に異常に広範なファイルアクセスを許す可能性のある脆弱性など、セキュリティ関連以外のバグも修正しました。
Chrome 21 の修正の詳細については、こことここを参照してください。
Mozillaが修復情報を公開
Mozillaは、Firefox、Thunderbird、SeaMonkeyのセキュリティアドバイザリ15件(過去2年で最多)に対するパッチをリリースしました。そのうち5件は「重大」、4件は「高」、6件は「中」と評価されています。
セキュリティ研究者らは、Firefoxのドラッグ&ドロップ機能を利用して、リモート攻撃者がページの読み込みを「ショートサーキット」化できる脆弱性を発見しました。通常、URLをアドレスバーにドラッグ&ドロップすると、そのURLは自動的に読み込まれます。しかし、悪意のあるアドレスをドラッグ&ドロップすることで発生するこのショートサーキットにより、ハッカーはアドレスバーを偽装し、システムをフィッシング攻撃の標的にすることができます。
Mozilla はまた、Mozilla ベースの製品で使用されるブラウザエンジンにおいて、システム上で任意のコードを実行する可能性のあるメモリ破損バグ(重大度:高)をいくつか特定し、修正しました。また、別のメモリ破損バグは、プログラムのクラッシュを引き起こす可能性があります。
これらの脆弱性およびその他の脆弱性は、Firefox 13、14、ESR 10.0.6、Thunderbird 13、14、ESR 10.0.6、SeaMonkey 2.11 で修正されています。
修正の詳細については、Mozilla のセキュリティ アドバイザリ、具体的には MFSA 2012-43、MFSA 2012-42、および MFSA 2012-52 を参照してください。
Apple、Safari 6.0を発表
AppleはSafari 6.0をリリースし、同社のソフトウェア開発ツールXcodeの2つの脆弱性を修正しました。Safari 6.0では、複数のセキュリティ脆弱性が修正されています。特に注目すべきは、予期せぬクラッシュや任意のコード実行につながる可能性のあるWebKitのメモリ破損問題です。Safari 6.0アップデートはOS X 10.7.4で利用可能で、OS X 10.8 Mountain Lionに含まれています。
Appleはまた、攻撃者がSSLで保護されたデータや「キーチェーン」(証明書、パスワード、その他の個人データを安全に保管するシステム)にアクセスして復号化できる可能性があるXcode 4.4の欠陥も修正した。
詳細については、次の Apple セキュリティ アップデート ページをご覧ください。1 つ目はさまざまな Apple 製品に関するもので、2 つ目は Safari 6 に関するもので、3 つ目は Xcode 4.4 に関するものです。
