Mozilla Foundation、脆弱性を修正したFirefox 40.0.3を公開

元記事：Version 40.0, first offered to Release channel users on August 11, 2015

元記事：Add-on notification bypass through data URLs

元記事：Use-after-free when resizing canvas element during restyling

発表日時 2015/8/27

Mozilla Foundationは脆弱性を修正したFirefox 40.0.3を公開した。今回公開されたのはFirefox 40.0.3で、Windows、Mac、Linux版に対応した。
今回修正された脆弱性の１件は重要度「最高」のcanvas要素に関する解放後使用の脆弱性で、この脆弱性が悪用されるとクラッシュを引き起こす。
もう1件は重要度「高」のdata URL を通じたアドオン通知の回避で、任意のサイトからアドオンをインストールできてしまう問題があり、この問題が悪用されるとdata URLの細工により任意のサイトからのインストールであっても信頼できるサイトになりすまして、悪質なサイトからアドオンをインストールされる恐れがある。Firefox ESR 38.2.1でもこれらの脆弱性に対応した。