MozillaがMS製アドオンの無効化を解除、攻撃経路にはならず
「.NET Framework Assistant」は攻撃経路にならないという確認がMicrosoftから取れたとして、Mozillaがブロックを解除した。
Mozillaは10月18日、脆弱性を突いた攻撃に利用される恐れがあるとしていったん無効化していたFirefox向けのMicrosoft製アドオンを、再度復活させたことを明らかにした。
問題のアドオン「.NET Framework Assistant」は、Microsoftが過去に配布した「.NET Framework 3.5 SP1」を通じて自動的にFirefoxにインストールされていたもので、脆弱性を突いた攻撃に利用される恐れがあることが分かったとしてMozillaが16日にブロックリストに追加、無効化する措置を取った。
しかしMozillaのセキュリティブログに18日に掲載された更新情報によれば、Framework Assistantは攻撃経路にならないという確認がMicrosoftから取れたため、ブロックを解除したという。ユーザー側でいったん無効になった同アドオンは再度有効になるはずだとしている。
このアドオンをめぐっては、Microsoftが10月13日に公開したセキュリティ情報「MS09-054」で明らかにした脆弱性との関連で、攻撃経路となる恐れが指摘されていた。
なお、MicrosoftのSecurity Research & Defenseブログは12日付で、同社がFirefoxにインストールしたもう1つのアドオン「Windows Presentation Foundation」は攻撃に利用される恐れがあると説明している。こちらのアドオンについてはMozillaエンジニアリング副社長マイク・シェバー氏が18日付のブログで「われわれがこれ(WPFプラグイン)をブロックリストから削除するのに先立って同プラグインのブロックを回避したいユーザーのため、改善に努めている」と述べている。
いずれのアドオンについても、問題の根本的な原因となる脆弱性は「MS09-054」のセキュリティ更新プログラムで対処済みだとMicrosoftは説明し、MS09-054を適用すればIEでもFirefoxでも問題は解決されると強調している。
関連記事
- Mozilla、Microsoft製Firefoxアドオンを無効化
Microsoftが10月の月例パッチで修正したIEとFirefoxに関する脆弱性に関連するプラグインを、Mozillaがブロックリストに追加した。 - 過去最多のMS月例パッチが公開、IEやSMBの脆弱性に対処
「緊急」8件、「重要」5件の更新プログラムで計34件の脆弱性に対処した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.