Mozilla Foundation、脆弱性を修正した更新版を公開
Mozilla Foundationは3月31日に公開したFirefox 37に発見された脆弱性を修正した最新版Firefox 37.0.1を公開した。一つ目は重要度が最高の HTTP Alternative Services 実装に関する脆弱性で、HTTP/2 レスポンスでAlt-Svc ヘッダが指定されると、指定された代替サーバのSSL証明書検証が回避される脆弱性が存在し、悪用されると攻撃者が正規証明書を不正なSSL証明書に置き換えても警告表示されず、不正サイトになりすまされる恐れがあった。
二つ目は重要度が高のリーダーモード機能に関する脆弱性で、リーダーモードはWebコンテンツを読みやすいよう非特権コンテンツとして動作して表示するが、特権付きURLがリーダーモードに渡された際に、Webページが特権付きコンテキストへの参照を取得するのを防ぐ通常の制限が回避される問題があり、もし同一オリジンポリシー違反が可能な他の脆弱性と組み合わされると、任意のコードが実行される恐れがあった。なお、この脆弱性は Android 版 Firefox とデスクトップ版 Firefox の開発版のみに影響し、デスクトップ版 Firefox の現行版にはリーダーモードが含まれていないため、この脆弱性の影響を受けない。
