Mozilla Foundation、Firefox及びGraphite 2 の脆弱性を修正したアップデートを公開
Mozilla FoundationはFirefox及びGraphite 2 に含まれる深刻な脆弱性を修正したアップデートを公開した。Firefoxにはサービスワーカーとプラグインの併用による同一配信元違反の脆弱性が存在する。これはプラグインからブラウザを通じて行われるネットワークリクエストへの応答がサービスワーカーに傍受されるという脆弱性で、例えばcrossdomain.xmlが偽装されると、不正サイトがFlash プラグインを使用して同一配信元ポリシーを破る恐れがある。例えば「crossdomain.xml」を偽造する手口により、不正サイトでFlashプラグインを使って同一配信元ポリシーが破られる恐れがあった。この脆弱性は重要度が「最高」となっており、Firefox 44.0.2で修正されている。
Graphite 2では、Firefox ESRに使用されていたGraphite 2 バージョン 1.2.4に脆弱性が存在し、特別なCNTXT_ITEM 命令によりGraphite 2 ライブラリ内の内部命令パラメータの検証を回避され、任意のコードが実行される恐れがあった。この脆弱性を解消したFirefox ESR 38.6.1及びThunderbird 38.6が公開されている。こちらも重要度は「最高」となっている。
