The Mozilla Foundation |
Mozillaのセキュリティチームが、Javaに脆弱性が発見された際のFirefoxの対応を説明するとともに、Java 7 Update 0-6に存在する脆弱性の対処法を紹介している。
セキュリティチームでは、Javaの脆弱性からユーザを守るため様々なオプションを検討しており、重要なサイトではJavaの実行をユーザ側で設定できるようにし、Javaの脆弱性を突いた悪意のある攻撃からユーザを守ることを目標としている。
実装の詳細はまだ検討段階であるとしているが、脆弱性の発見されたJavaは標準で無効となり、ユーザがJavaを使用しているサイトを開いた時にJavaを有効にするかどうかメッセージが表示されるようにする。Javaが脆弱性に対処した時にFirefox側も更新を行い、それまではJavaを無効にしておくことを推奨している。
現在、脆弱性をもつプラグインや古いプラグインからユーザを保護するセキュリティ機能としてClick-to-playが実装されているが標準では無効となっており、セキュリティチームではFirefox 18で標準で有効にさせたいとしている。
また、Java 7u0-6にある脆弱性(CVE-2012-4681)に対してFirefoxでJavaプラグインを無効にするよう勧告している。Javaプラグインの無効手順についてはMozillaのサポートページが参考になる。