• ロードマップ
• プロジェクト
• コーディング
  • モジュールオーナー
  • ハック
  • ソースの入手
  • ビルド
• テスト
  • リリース
  • ナイトリービルド
  • 問題の報告
• ツール
  • Bugzilla
  • Tinderbox
  • Bonsai
  • LXR
• FAQ

• MDC 日本語版

shell: プロトコルのセキュリティ問題について Mozilla ユーザが知っておくべきこと

7 月 7 日、Microsoft Windows 向けのブラウザに影響を及ぼすセキュリティ脆弱性が、Keith McCanless によって mozilla.org に報告され、続いて公開のセキュリティメーリングリスト「Full Disclosure」に投稿されました。同日、Mozilla のセキュリティチームは、このセキュリティ問題について報告された内容が、Mozilla Application Suite、Firefox、Thunderbird に影響することを確認し、Bugzilla の Bug 250180 にて修正案の議論と開発を行いました。なお、このバグは Microsoft Windows のユーザのみに影響するものであることが確認済みです。この問題は Linux や Mac OS のユーザには影響を及ぼしません。

翌 7 月 8 日、Mozilla チームは、外部プロトコルハンドラ「shell:」の使用を明示的に無効化することでこの問題を解決する、設定の変更を公開しました。次の 2 通りの修正方法があります。まず最初の方法は、この設定に修正を加える小さなセキュリティパッチをインストールすることです。2 番目の方法は、これら各製品の最新フルリリース版をインストールし直すことです。これらの変更を実施する方法は以下をご覧ください。

アップデートの手順

Microsoft Windows で Mozilla、Firefox、Thunderbird を利用されている方は、以下のいずれかの方法でアップデートを実施してください。

• Mozilla と Firefox に修正パッチをインストールするには、以下の手順に従ってください。
  1. この 修正パッチ のリンクをクリックしてください。
  2. Software Installation (ソフトウェアインストール) ウィンドウが表示されますので、[Install Now (今すぐインストール)] ボタンをクリックしてください。
  3. Mozilla あるいは Firefox ブラウザをいったん終了し、再起動してください。

• Firefox や Mozilla で問題が修正されたことを確認するには、必ずブラウザを再起動してから、以下の手順に従ってください。
  1. アドレスバーに about:config と入力して Enter キーを押します。
  2. Filter ツールバーに shell と入力します。
  3. network.protocol-handler.external.shell という名前の行を探します。
  4. この設定の Value が false になっていたら、アプリケーションにはパッチが適用済みです。

• Thunderbird に修正パッチをインストールするには、以下の手順に従ってください。
  1. 修正パッチ のリンクを右クリックして、[Save Link As (名前をつけてリンクを保存)] を選択してください。
  2. ファイル (shellblock.xpi) をデスクトップに保存してください。
  3. Thunderbird の [Tools (ツール)] メニューを開き、[Extensions (拡張機能)] を選択してください。
  4. Extensions (拡張機能) ウィンドウが表示されますので、[Install (インストール)] ボタンをクリックしてください。
  5. ファイル選択パネルを使って、デスクトップにある shellblock.xpi を選択し、[OK] をクリックしてパネルを閉じます。
  6. Software Installation (ソフトウェアインストール) ウィンドウが表示されますので、[OK] をクリックしてください。
  7. Thunderbird をいったん終了し、再起動してください。

• 最新の Mozilla リリースをダウンロード、インストールし直すには、以下の手順に従ってください。
  1. Mozilla 1.7.1 をデスクトップにダウンロードし、mozilla-win32-1.7.1-installer.exe のアイコンをダブルクリックしてください。
  2. Mozilla のインストールウィザードに従ってください。
  1. Firefox 0.9.2 をデスクトップにダウンロードし、FirefoxSetup-0.9.2.exe のアイコンをダブルクリックしてください。
  2. Firefox のインストールウィザードに従ってください。
  1. Thunderbird 0.7.2 をデスクトップにダウンロードし、ThunderbirdSetup-0.7.2.exe のアイコンをダブルクリックしてください。
  2. Thunderbird のインストールウィザードに従ってください。

私たちは、ユーザの安全性とセキュリティを重視しており、常に安心して利用できる製品をリリースし、ソフトウェアにセキュリティ脆弱性が発見されたときには迅速に対応する最大限の努力を続けて参ります。Mozilla Firefox の次期バージョンには自動アップデート通知機能が搭載され、ユーザは、より簡単にセキュリティ問題が修正されたことを知らせる警告を受け取ることが可能になります。

Mozilla セキュリティチームは、最初にバグの報告とテストケースを寄せてくれた Keith McCanless に感謝し、このドキュメントの初版で彼の報告についての言及が誤って抜け落ちていたことに対して、この場を借りてお詫び申し上げます。