■
Firefoxブラウザに未パッチの深刻な脆弱性が発見された。Internet Explorer(IE)が関与する形で問題を悪用される恐れがあるという。
FirefoxをWindowsにインストールする過程で導入されるURLハンドラの「FirefoxURL://」に、設計上のエラーが存在する。
リモートの攻撃者がこの問題を悪用すると、ユーザーをだましてIEで細工を施したページを閲覧させることにより、任意のコマンドを実行し、システムを完全に制御することが可能になる。
脆弱性が存在するのはFirefox 2.0.0.4およびそれ以前のバージョン。問題を修正する公式パッチは公開されていない。FrSIRTの深刻度評価は4段階で最も高い「Critical」となっている。
SANS Internet Storm Centerでは、IE経由でこの問題が悪用される仕組みについて分析している。それによると、FirefoxではURLハンドラのインストールに関連してコマンドラインへのアクセス防止措置を取っているとみられるが、IEがこのURLハンドラを呼び出して、Firefoxがインストールしたハンドラ経由でコマンドラインにアクセスできる手段を提供してしまう。その結果、FirefoxがインストールされたマシンのIEユーザーが危険にさらされるという。
この問題を突いたエクスプロイトも最近公開されたという。
SANSでは回避策として、FirefoxでインストールされるURLハンドラをレジストリから削除することを推奨。FrSIRTのアドバイザリーでも、FirefoxURLハンドラを削除する方法を紹介している。
Firefoxを利用する日本人もかなり増えてきた。こう脆弱性があると心配する人がいるかもしれないので、一応回避策を施したほうが良いかもしれない。
Mozillaから対応策は出てくるだろうから待つ方法もあるが。
念のため注意したほうがいい。
