速報
» 2007年07月27日 08時40分 UPDATE

FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開

FirefoxとIEの最新バージョンをインストールしているシステムで脆弱性が確認された。エクスプロイトコードも公開されているという。

[ITmedia]

 MozillaのFirefoxブラウザとMicrosoftのInternet Explorer(IE)の相互作用で生じる深刻な脆弱性が、また新たに報告された。Firefoxが数日前にリリースしたバージョン2.0.0.5では未対応。IE 7が関与するエクスプロイトも公開されているという。

 この問題は、FirefoxとIEのどちらに原因があるのかをめぐって論議になっているが、US-CERTや仏FrSIRTは7月26日、「FirefoxのURI処理に関する脆弱性」についてアドバイザリーを公開した。

 US-CERTによると、この脆弱性は、Firefoxが特定のURIをフィルタにかけないまま、登録されたアプリケーションに引き渡してしまうことに起因する。これにより、リモートの攻撃者がFirefoxを攻撃経路として使い、悪質なURIを利用して任意のコマンドを実行することが可能になる。

 この問題を突いたエクスプロイトコードも公開されているという。このコードはmailto、news、nntp、snews、telnetの各URIハンドラを利用し、IE 7がインストールされているWindowsシステムで機能するとみられる。このコードで使われている技術は、Firefox以外のアプリケーションにも影響する可能性があるとUS-CERTは指摘している。

 Mozillaチームもセキュリティブログでこの問題を認め、現在パッチの開発を進めていることを明らかにした。OSはWindows XPが影響を受けるという。

 一方、セキュリティ企業のSecuniaは26日、「Microsoft WindowsのURI処理に関する脆弱性」についてアドバイザリーを公開。US-CERTなどが指摘しているのと同じ問題を取り上げたものとみられるが、脆弱性が存在するソフトは「Internet Explorer 7.x」と明記している。

 Secuniaによると、このWindowsの脆弱性により、IE 7をインストールしているシステムで、ユーザーが「例えばFirefoxを使って」悪質なWebサイトを閲覧すると、任意のコマンドを実行することが可能になる。

 Secuniaでは、完全にパッチを当てたWindows XP SP2とWindows Server 2003 SP2上で、Firefox最新バージョンの2.0.0.5とNetscape Navigator 9.0b2を使っている場合に脆弱性が発生することを確認。ほかのバージョンやブラウザも影響を受ける可能性があると指摘した。

 いずれにしても、被害に遭うのを避けるには、信頼できないWebサイトを閲覧したり、信頼できないリンクをクリックしてはいけないという助言は、各アドバイザリーに共通している。

関連キーワード

Firefox | Internet Explorer | Mozilla | Netscape | 脆弱性


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -