IE関与の脆弱性、Firefox側が対処を表明

[ITmedia]

　Internet Explorer（IE）の関与によりFirefoxに脆弱性が発生する問題で、Firefoxを開発しているMozillaチームは、次のリリースでこの問題を修正すると表明した。

　Mozillaのセキュリティブログによると、この問題ではIEで悪質なWebページを閲覧し、細工を施したリンクをクリックすると、コマンドライン経由で別のWindowsプログラムが起動し、悪質ページのURLデータをそのプログラムに引き渡してしまう。この仕組みによってIEからFirefoxにURLデータが送られ、このデータに特定の細工が施してあれば、Firefoxでリモートからコードを実行することが可能になる。

　ブラウザの相互作用で脆弱性が発生するケースは過去にAppleのSafariとFirefoxの間でも報告されたことがあり、このときはApple側で問題を修正した。

　Microsoftは現時点でパッチリリースの予定はないとみられるため、Firefox次期リリースの2.0.0.5でこの問題に対処し、IEからFirefoxに悪意のあるデータが送られないようにするとMozillaが表明。ただ、現時点では未確認ながら、ほかのWindowsプログラムにも、IEから悪意のあるデータが受け渡されてしまう問題が存在する可能性はあると指摘している。

　この問題を突いた攻撃は確認されていないが、コンセプト実証コードは公開されているという。Mozillaでは、Firefoxを使ってネットを閲覧している限りこの脆弱性を突いた攻撃に遭うことはないと強調。ネット閲覧にはFirefoxを利用し、未知のWebサイト閲覧には注意するよう呼び掛けている。