Firefox web browser - Faster, more secure & customizable

25日にFirefox 3.6および3.5に任意のコードを実行される脆弱性があることが発覚。Mozillaがその問題に気がついてから、48時間以内に対応が実施され、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15が公開された。問題が発覚してから48時間以内にアップデート準備まで終わらせるという迅速な対応となる。

どういった手順を踏んで対処が実施されたのかがLegNeato! - Two F-ing days for Firefox 3.6.12 and 3.5.15!で紹介されている。実際にどういったやりとりがあったのかが要点をおさえてまとめられており参考になる。紹介されている内容は次のとおり。

  1. おそらく日曜日(24日)に新しいトロイが仕込まれている。
  2. Telenor SOC社が顧客のネットワークに対する不正侵入を調査していると、Windows XPで動作する特定のバージョンのFirefox 3.6にヒープバッファオーバーフローの脆弱性があることを発見。Mozillaへ報告。Mozillaに報告がやってきたのは太平洋夏時間で月曜(25日)の21時過ぎ。
  3. 月曜の夜中にわたって多くのエンジニアがこの問題の調査を実施。
  4. 月曜の夜、MozillaはGoogleに対して同脆弱性を利用してマルウェアを配信していたサイトをブロックするように要請。Googleは要請に対して迅速に対応。その段階で同サイトはFirefoxに組み込まれている詐欺サイト/マルウェアプロテクション機能によって警告を受ける状態になっている。
  5. この新しいマルウェアについてアンチウィルスベンダへ報告。月曜の夜にはシグネチャが作成されている。
  6. Firefoxにおける同脆弱性の修正方法が開発される。レビューを実施して再度変更、もう一度レビューを実施し、26日にはすべてのブランチに対して同修正を適用。
  7. 火曜夜、リリースエンジニアリングによってビルドを作成。QAが修正を確認。
  8. 水曜の朝にはアップデートへ向けた準備を開始。
  9. 水曜午後、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15を配信開始。この段階では報告を受けてからまだ48時間も経過していない。

問題報告を受けてから問題の修正のみならず、検索ベンダへの報告、アンチウィルスベンダへの報告、問題の修正とその確認、修正版のビルド、配信へ向けた準備などが一連の流れとして機能していることがわかる。安定性などを犠牲にすることなく問題の修正と迅速なリリースが実施された点が注目に値する。