Firefox Hacks 翻訳日記

アクセスカウンタ

zoom RSS 私が FirefoxHTML を削除しない理由

<<   作成日時 : 2007/07/13 02:10   >>

トラックバック 0 / コメント 0

承前
まずは、公式見解のご紹介から。
Mozilla Corporation のセキュリティ最高責任者 (Chief Security Something-or-Other) である
Window Snyder が Mozilla Security Blog に記事を書いている。

Security Issue in URL Protocol Handling on Windows

これによると;

Mozilla believes in defense in depth and will be patching Firefox in the upcoming 2.0.0.5 release to mitigate the problem. This will prevent IE from sending Firefox malicious data.

「次の 2.0.0.5 リリースには、この問題に関するパッチが含まれ、悪意のあるデータが IE から Firefox に
送られないようにする」、との事だ。

さて、本題だが、セキュリティホール memo さんなどで既報の通り、

FirefoxURL:// の他に FirefoxHTML:// や Firefox.URL:// も危険な模様。

だそうだ。

セキュリティホール memo さんには、いつもお世話になっているので、
こういう事を言いたくはないのだが、これは本当だろうか?

どこかに FirefoxHTML:// や Firefox.URL:// による脆弱性の実証コードでもあれば別だが、
少なくとも私の環境でレジストリに、ドット付きの Firefox.URL というレジストリは存在しない。
また、FirefoxHTML というレジストリは存在するが、私の認識が正しければ、だが
これはローカルファイルの関連付けに使われるもので、
メインブラウザを Firefox にしている私にとって、削除すると不都合の方が大きいのでは?

試しにレジストリをいじって、FirefoxHTML をリネームしてみた。
以下、リネーム前後のスクリーンショット。

画像

リネーム前には HTM、HTML ともに Firefox に関連付けられている。
そして、リネーム後。

画像

HTM が N4 に関連付けられているのはご愛敬だが、
HTML の方は IE に関連付けられているのがおわかりになるだろう。

当然の事ながら、デスクトップに置いた HTML ファイルのアイコンも、
ファイラーで参照する HTML ファイルのアイコンも IE になり、
ダブルクリックで起動するアプリケーションは IE になる。
スタートメニューから参照できるデフォルトブラウザは Firefox のままなのに、だ。

「IE + Firefox2 の脆弱性」 によれば、水無月ばけら さんも、FirefoxHTML を無効にしているようで、
これは他の皆さんがレジストリをいじった後に再起動していないのか、
それとも私が妄想にかられているだけなのか、のどっちだろう、と思ったりもする。

<2007年7月17日追記>
えむけい さんが手動トラックバックしてくださって (深謝)、
水無月ばけら さんが検証されたところによると、
FirefoxHTML では攻撃が成立しないようです。
「IE + Firefox2 の脆弱性 追記」@水無月ばけらのえび日記

ダウンロードした HTML メールなどのローカルファイル経由の攻撃なら成立する、
という可能性もゼロではありませんが、
Thunderbird なら HTML メールも JavaScript もデフォルトで off ですので、危険性は少なく、
デメリットの方が大きい、と考えます。
<追記終わり>

再び、セキュリティホール memo さんからの引用。

Blocking the Firefox -> IE 0-day (Jesper's Blog, 2007.07.10) では次のコマンドを解説している。

この後に、レジストリから FirefoxHTML を削除するコマンドが引用されているわけだが、
キナ臭いのは MozillaZine の記事、
Security Exploit Uses Internet Explorer to Attack Mozilla Firefox
(和訳: Internet Explorer を使用して Mozilla Firefox を攻撃するセキュリティの脆弱性
の次の一節。

On his weblog, Jesper Johansson (who also used to work for Microsoft), says the firefoxurl:// flaw is a Mozilla problem.

(強調筆者)

Jesper Johansson さんは、ただのスキューバダイビング愛好家ではなく、
元 Microsoft 社員のスキューバダイビング愛好家だったらしい。
(参考: 「パスワードはメモしておけ」--MSのセキュリティ担当幹部、自説を披露 - CNET Japan

意図的なものかはさておいて、「レジストリの FirefoxHTML を削除しろ」という
Jesper Johansson さんのアドバイスに、少なくとも現時点では私は従うつもりはない。

テーマ

関連テーマ 一覧


月別リンク

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
私が FirefoxHTML を削除しない理由 Firefox Hacks 翻訳日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる