脆弱性関連(4/22)

Firefox 3.0.9 リリースノート (Mozilla, 4/21)

Firefox 3.0.9 がでました。直った脆弱性はこの辺り:Firefox 3.0 セキュリティアドバイザリ

  • MFSA 2009-22 Refresh ヘッダによる javascript: URI へのリダイレクト
  • MFSA 2009-21 埋め込みフレームを含む Web ページを保存する際、POST データが異なるサイトに送信される
  • MFSA 2009-20 悪質な検索プラグインによって任意のサイトにコードが注入される
  • MFSA 2009-19 XMLHttpRequest と XPCNativeWrapper.toString を通じた同一生成元違反
  • MFSA 2009-18 サードパーティスタイルシートと XBL バインディングを用いた XSS 攻撃
  • MFSA 2009-17 Adobe Flash が view-source: スキーマを通じて読み込まれる際の同一生成元違反
  • MFSA 2009-16 jar: スキーマによって内部 URI に指定された content-disposition: ヘッダが無視される
  • MFSA 2009-15 罫線文字による URL 偽装
  • MFSA 2009-14 メモリ破壊の形跡があるクラッシュ (rv:1.9.0.9)
追記(4/23)

いくつかの脆弱性は、ThunderbirdとSeamonkyにも影響があるそうで、■ Firefox 3.0.9 リリースノート (mozilla.jp, 2009.04.23) (セキュリティホールmemo, 4/23) にThunderbirdとSeamonkyの対応状況などが表になってる。

Mac OS Xに5件の脆弱性、既に実証コードも公開 (INTERNET Watch, 4/15)

4/15時点でパッチ未定ということだが、その後どうなってるのかな。