ニュース

MozillaがMS製アドオンの無効化を解除、攻撃経路にはならず

「.NET Framework Assistant」は攻撃経路にならないという確認がMicrosoftから取れたとして、Mozillaがブロックを解除した。

　Mozillaは10月18日、脆弱性を突いた攻撃に利用される恐れがあるとしていったん無効化していたFirefox向けのMicrosoft製アドオンを、再度復活させたことを明らかにした。

　問題のアドオン「.NET Framework Assistant」は、Microsoftが過去に配布した「.NET Framework 3.5 SP1」を通じて自動的にFirefoxにインストールされていたもので、脆弱性を突いた攻撃に利用される恐れがあることが分かったとしてMozillaが16日にブロックリストに追加、無効化する措置を取った。

　しかしMozillaのセキュリティブログに18日に掲載された更新情報によれば、Framework Assistantは攻撃経路にならないという確認がMicrosoftから取れたため、ブロックを解除したという。ユーザー側でいったん無効になった同アドオンは再度有効になるはずだとしている。

　このアドオンをめぐっては、Microsoftが10月13日に公開したセキュリティ情報「MS09-054」で明らかにした脆弱性との関連で、攻撃経路となる恐れが指摘されていた。

　なお、MicrosoftのSecurity Research & Defenseブログは12日付で、同社がFirefoxにインストールしたもう1つのアドオン「Windows Presentation Foundation」は攻撃に利用される恐れがあると説明している。こちらのアドオンについてはMozillaエンジニアリング副社長マイク・シェバー氏が18日付のブログで「われわれがこれ（WPFプラグイン）をブロックリストから削除するのに先立って同プラグインのブロックを回避したいユーザーのため、改善に努めている」と述べている。

悪用の恐れがあるWPFのプラグイン

　いずれのアドオンについても、問題の根本的な原因となる脆弱性は「MS09-054」のセキュリティ更新プログラムで対処済みだとMicrosoftは説明し、MS09-054を適用すればIEでもFirefoxでも問題は解決されると強調している。

過去のセキュリティニュース一覧はこちら

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.