FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開

[ITmedia]

　MozillaのFirefoxブラウザとMicrosoftのInternet Explorer（IE）の相互作用で生じる深刻な脆弱性が、また新たに報告された。Firefoxが数日前にリリースしたバージョン2.0.0.5では未対応。IE 7が関与するエクスプロイトも公開されているという。

　この問題は、FirefoxとIEのどちらに原因があるのかをめぐって論議になっているが、US-CERTや仏FrSIRTは7月26日、「FirefoxのURI処理に関する脆弱性」についてアドバイザリーを公開した。

　US-CERTによると、この脆弱性は、Firefoxが特定のURIをフィルタにかけないまま、登録されたアプリケーションに引き渡してしまうことに起因する。これにより、リモートの攻撃者がFirefoxを攻撃経路として使い、悪質なURIを利用して任意のコマンドを実行することが可能になる。

　この問題を突いたエクスプロイトコードも公開されているという。このコードはmailto、news、nntp、snews、telnetの各URIハンドラを利用し、IE 7がインストールされているWindowsシステムで機能するとみられる。このコードで使われている技術は、Firefox以外のアプリケーションにも影響する可能性があるとUS-CERTは指摘している。

　Mozillaチームもセキュリティブログでこの問題を認め、現在パッチの開発を進めていることを明らかにした。OSはWindows XPが影響を受けるという。

　一方、セキュリティ企業のSecuniaは26日、「Microsoft WindowsのURI処理に関する脆弱性」についてアドバイザリーを公開。US-CERTなどが指摘しているのと同じ問題を取り上げたものとみられるが、脆弱性が存在するソフトは「Internet Explorer 7.x」と明記している。

　Secuniaによると、このWindowsの脆弱性により、IE 7をインストールしているシステムで、ユーザーが「例えばFirefoxを使って」悪質なWebサイトを閲覧すると、任意のコマンドを実行することが可能になる。

　Secuniaでは、完全にパッチを当てたWindows XP SP2とWindows Server 2003 SP2上で、Firefox最新バージョンの2.0.0.5とNetscape Navigator 9.0b2を使っている場合に脆弱性が発生することを確認。ほかのバージョンやブラウザも影響を受ける可能性があると指摘した。

　いずれにしても、被害に遭うのを避けるには、信頼できないWebサイトを閲覧したり、信頼できないリンクをクリックしてはいけないという助言は、各アドバイザリーに共通している。