|
IEが関係する脆弱性とは、FirefoxとIEの両方がインストールされているPCで、IEから「firefoxurl://」プロトコルでWebサイトにアクセスしたときに、Firefoxが強制的に起動するというもの。アクセス先が悪意あるサイトだった場合は、PCを乗っ取られる可能性もある。
この脆弱性については、ここ1週間、MozillaとMicrosoftのどちらが責任をとり、修正パッチをリリースするべきかという点をめぐって、セキュリティ研究者らが議論を繰り広げてきた。
17日に公開された8件のセキュリティ勧告のうちの1件で、MozillaはMicrosoftを表立っては責めなかったものの、これまでと同様、批判に近い表現を用いている。
「他のWindowsアプリケーションも同じ方法で呼び出され、悪意あるコードの実行に悪用されるおそれがある。今回のアップデートは、FirefoxやThunderbirdが悪質なデータを受信する問題を修復するもので、IEの脆弱性には対応しない」(同勧告より)
さらにMozillaは、「IEに存在する同脆弱性を悪用した攻撃から身を守るため、WebブラウジングにはFirefoxを使用することを強く推奨する」と、大胆な次善策も提案している。
問題となった脆弱性を公表し、Microsoftの責任を厳しく追及したデンマークの研究者、トール・ラルホルム氏は、17日になってもその論調を変えなかった。同氏は次のように述べている。
「Microsoftが最初に見せた対応は、十分に納得のいくものだった。同社が発表した脆弱性報告書は、Firefoxに対する扱いや『-chrome』コマンドライン引数、攻撃コードの適切な防ぎ方などに焦点が当てられていた。にもかかわらず、いまだに各種の外部アプリケーションがIE経由で自動的に起動し、任意のコマンドライン引数が実行できるというのはどういうことなのか」
ラルホルム氏はそうしたコマンドの例として、AcroRd32.exe(Adobe Acrobat PDF Reader)、aim.exe(AOL Instant Messenger)、Outlook.exe、msimn.exe(Outlook Express)、netmeeting.exe、HelpCtr.exe(Windows Help Center)、mirc.exe、Skype.exe、wab.exe(Windows Address Book)、wmplayer.exe(Windows Media Player)などを挙げている。
Microsoftは先週、IEに問題はなく、パッチはリリースしないという方針を表明している。同社の広報担当者は17日、「IEの脆弱性に関する報告を詳しく調査し、Microsoft製品の問題ではないという結論に達した」と述べている。
MozillaはFirefox 2.0.0.5で、複数のメモリ破損バグも修正した。「多少手はかかるが(中略)、これらのバグの一部を悪用して任意のコードを実行することができる」と、Mozillaは述べている。また、クロスサイト・スクリプティング攻撃やキャッシュへの不正アクセスに利用できる脆弱性についても対応した。
結果的に、Firefox 2.0.0.5のリリースは予定よりも早まった。Mozillaの開発者は16日、「『firefoxurl://』のバグは深刻な危険性をはらんでおり、今回のアップデートは緊急リリースとしてとらえてほしい」と注意を促している。バージョン2.0.0.5は、当初は7月19日に配布されるはずだった。
今回のアップデートは、旧版のFirefox 1.5.xシリーズのサポートが打ち切られて以来、初めてのものになる。旧版のユーザーは7月初めにFirefox 2.0.0.4への自動アップデートを受け取っていた。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Mozilla Corporation
http://www.mozilla.com/en-US/
![[RSS]](http://static.sourceforge.jp/ic/feed-14x14.png "Security RSS"){kind=small}