ネットニュース各社で既報だが、 IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク - CNET Japan も、 ITmedia エンタープライズ:Firefoxの脆弱性、IE経由で悪用される恐れ も 今一つわかりにくいので、個人的なメモ。 筆者はセキュリティの専門家ではないので、誤解・誤読があるようならご指摘いただければ嬉しい。 要するに、"FirefoxURL://" を使った悪意のあるスクリプトを含んだページを IE で見ると、 JavaScript で何でもし放題、という事のようだ。 CNET (原文) 経由の Larholm.com にもデモページがあるが、こちらは自動実行なので、 リンクをクリックする形式の Cross Browser Scripting Demo の方がわかりやすいだろう。 Firefox を終了 した上で、IE で上記デモページに行って、後半部にあるリンクをクリックしてみると、 cmd.exe の起動や Firefox の JavaScript コンソールの起動などが体験できる。 Firefox 側では、 のような警告画面が出るが、この画面が出るのはスクリプトが実行された後なので、 警告画面が出ればいいという問題ではない。 Larholm.com のコメント欄にある本人のコメント (Comment #2) によれば、 FirefoxURL ハンドラが追加されたのは Firefox 2.0.0.2 の時で、 その目的は Vista との互換性のためだ、との事。 そのうちにセキュリティアップデートが出ると思われるが、特に Vista ユーザーでない人は (いや、たぶん Vista ユーザーでも) FrSIRT の勧告に従ってレジストリを削除した方が安心だろう。 レジストリエディタで、"HKEY_CLASSES_ROOT\FirefoxURL" を削除すればいいのだが、 レジストリをいじるのが不安な人は、コンパネ → フォルダオプション → ファイルの種類 で "Firefox URL" を探し出して、「詳細設定」で「ファイルの種類の編集」画面を出し、 「アクション」欄の "open" を削除すれば良いと思われる。 編集後のスクリーンショット。 ![]() この状態で、上記二つのページのデモが動作しない事を確認した。 (Windows XP SP2、IE 6、Firefox 2.0.0.4) ちなみに、Firefox 2.0.0.4 をベースにした Netscape 9 beta1 にもこの脆弱性がある筈なので、 N9 を使っている人はご注意を。 とは言え、N9 を標的にしたトラップを仕掛けても相手が少なすぎて効果がないような気もするが(^^; <2007年7月13日追記> レジストリをいじるにせよ、フォルダオプションをいじるにせよ、 有効にするためには Windows の再起動が必要 です。 レジストリエディタ経由で FirefoxHTML を削除することは (少なくとも現時点では) お勧めしません。 続報のエントリ、私が FirefoxHTML を削除しない理由 をご参照下さい。 また、この脆弱性の原理についてですが、2ch の Mozilla Firefox スレから plus7 さんのコメント。 原理はXSSでよく使われる手法に似てるね。 <追記終り> <2007年7月18日追記> 上記の脆弱性を修正した Firefox 2.0.0.5 がリリースされました。 自動更新がかからない人は、ヘルプ → ソフトウェアの更新 で更新する事をお勧めします。 なお、上記した手順でフォルダオプションの open を削除していても 更新によって open の記述が復活しますが、 Larholm.com のデモページが動作しないことを確認しました。 ちなみに、Cross Browser Scripting Demo の方はアクセスが集中しているせいかつながりませんでした(^^; <追記終り> |
<< 前記事(2007/07/01) | ブログのトップへ | 後記事(2007/07/13) >> |
タイトル (本文) | ブログ名/日時 |
---|
内 容 | ニックネーム/日時 |
---|
<< 前記事(2007/07/01) | ブログのトップへ | 後記事(2007/07/13) >> |