Firefox 1.5.0.2以下(つまり最新版を含む)で、バッファオーバフローによるリモートコードが実行される脆弱性(セキュリティホール)が指摘されているとのこと。
Firefox 1.5.0.2以下のiframe.contentWindow.focus()に問題がありバッファがオーバーフローするようです。これ件フォローが無いので真偽は??です。
0DAY Firefox Remote Code Execution and Denial of Service Vulnerability - yohgaki's blog
情報ソースに書いてある通り、指摘された脆弱性の真偽は分かりません。しかし何もしないのは何なので、これまた情報ソースにあったFirefox拡張機能のNoScript 1.1.4をインストールして、真偽がはっきりするまでは自衛することにしました。
このNoScriptの良いところは、一律にJavaScript(やJava)を制限するのではなく、自分が登録した信頼するサイト(ホワイトリスト)ではJavaScriptの実行を許可したり、ホワイトリストにないサイトでもブックマークレットの実行は例外的に許可したりできるところです。
実はPrefButtons 0.3.4を使っているのでJavaやJavaScriptの許可と禁止の切換えは容易なのですが、JavaScriptを禁止すると「ブログに書く」や便利なブックマークレットも使えなくて非常に困るのです。
ということで、今回の自衛措置にはNoScriptが必須かも知れませんね。
0DAY Firefox Remote Code Execution and Denial of Service Vulnerability - yohgaki's blog 2006年04月25日14:42
NoScript - Firefox Add-ons
かんたん投稿機能とは? - goo ブログ
gooBlog用ブックマークレット - あれとかこれとか@Yahoo!
Firefox 1.5.0.2リリース 2006年04月14日12:15
・Mozilla Foundation セキュリティアドバイザリ 2006-30
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-30.html
なんか、正確には「バッファオーバーフローではなかった」みたいですが。
まぁ、更新しておきましょ。
# プロパイルのバックアップは忘れずに>俺!