Scene Side Bで既報だが、米国時間の3月30日から4月1日のどこかで、Firefox 3.0.8がリリースされることが決まった。緊急にプランが策定されたもので、コードフリーズが3月25日という慌ただしさだ。これにより、当初3.0.8で予定されていた修正は、すべて3.0.9に回される。

Bugzillaのフラグから判断して、"Bug 485217 - Exploitable crash in xMozillaXSLTProcessor::TransformToDoc"が問題のバグとみられる。Firefox 3.0.7のコードをベースに、このバグだけなどを修正したものが3.0.8である。

対するFirefox 3.0.9は、すでにコードフリーズを終えているため、3.0.8の修正を取り込まねばならない。スケジュールへの影響がどの程度のものになるかは不明だが、一定の遅れは避けられない。ただ、期せずしてFirefox 3.5 Beta 4との日程調整は不要になった。

Firefox 3.0.8は、4〜5週間を目標とする（『セキュリティ・アップデートの開発プロセス』参照）通常のリリースとは異なり、プライオリティが"High"に位置づけられている。Mozillaが公表しているPriority Rankingによれば、"High"に該当するのは、危険なエクスプロイト（脆弱性を悪用するコード）の存在が知られている場合である。この場合、対策スタッフは他の作業をいったん中断し、必要ならば休日を返上してでも、アップデートをユーザーの手元に届けねばならないとされている。今回、コードフリーズからリリースまで1週間弱とされていることからすると、スタッフに土日の休みはなさそうだ。

（同日追記）
Bug 485217を対象としていることが確定した。ZDNet Japanの記事『Pwn2Ownで三冠：IE8、Firefox、Safariが陥落』などで報じられたセキュリティーホールをも塞ぐ。

Firefox 3.5 Beta 4もFirefox 3.0.8と共通の対策が施されるが、そのリリースまで3.1 Beta 3のユーザーはこのセキュリティーホールを抱えることになる。注意してほしい。

（同日再追記）
リリース日が4月1日に決まった。また、コメント欄で あ さんに指摘していただいたが、非公開のバグであるBug 484320とBug 485286に対する修正を含む。Pwn2Ownのセキュリティーホールを塞ぐ本命は、こちらに含まれているようだ。