今日のソフトウェア開発においては、セキュリティ脆弱性への対応は避けては通れない。その対応の善し悪しは、脆弱性を発見できたかどうかではなく、どれだけ迅速に対処したか、で決まる。Web ブラウザベンダーの場合、これは特に重要だ。

米国 Mozilla は10月9日、Firefox 16 をリリースした。だが10日夜には同ブラウザに脆弱性が発見されたとしてダウンロードページから一旦削除。翌11日午後(日本時間12日午前4時)に、脆弱性を修復した Firefox 16.01 を改めてリリースしている。

Firefox エンジニアリング部門上級ディレクターの Jonathan Nightingale 氏は、InternnetNews.com に対し次のように語った。

「昨日、この問題が発覚して以降、Mozilla は利用者の保護を最優先課題としてきた。今日、Mozilla はこの脆弱性を完全に解決した Firefox のアップデートをリリースすることができた」

Firefox 16.01 で対応された重要な修正は、CVE 2012-4193「DefaultValue に対するセキュリティチェックが適用されない」と CVE 2012-4192「ロケーションオブジェクトへのクロスドメインアクセスが可能になってしまっている」の2つだった。

この2つの脆弱性は、Firefox ESR (法人ユーザー向け延長サポート版)にも影響を与えることが判明したため、Mozilla は Firefox ESR 10.09 もリリースしている。

Mozilla が Firefox 公開直後にアップデートをリリースするのは、今回が初めてというわけではない。だが、これほど短期間にリリースしたことは過去にはなかった。

Mozilla は Firefox 16 の公開前に、これらの問題を発見することはできなかったのだろうか?Nightingale 氏は、Mozilla はすべてのセキュリティ問題を分析し、その根本原因の解明に努めていると強調した。

「Mozilla は、今回の件の原因究明をすでに開始している。また、この問題が2度と発生することのないよう、自動テストシステムに新たな項目を設けた。新システムはすでに稼働しており、何十万ものその他の定期チェック項目とともに、すべての Firefox ビルドの品質を確認している」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。

(この記事は、10月11日付けの英文記事の抄訳です)