Firefox のセキュリティ脆弱性(IE といっしょ)

2007年7月12日(木) 23時1分 by level
B ?

Windows 版 Firefox が導入する firefoxurl ハンドラにより、IE 利用中に firefoxurl:// を含む悪意ある URL により、Firefox を経由して任意のコマンドを実行されてしまうということのようです。当面の回避策としては、該当レジストリを削除するか、Firefox Hacks 翻訳日記にあるようにフォルダオプションから該当ハンドラのアクションを削除すればよいようです。ちなみにうちの FirefoxURL は trunk に関連付けられていました。

Fierfox URL

ここでフォルダオプションでファイルの種類を見てみると、Firefox URL のほかに、Navigator URL、Thunderbird URL というのもあります。Navigator URL は Firefox 2.0.0.4 がベースの Netscape Navigator 9 ベータなのでこれもアウトですね。Thunderbird のほうはどうなんでしょう?

追記:この問題は Firefox 2.0.0.5Thunderbird 2.0.0.5 で修正されました。FirefoxURL の引数が -url "%1" から -requestPending -osint -url "%1" に変更になっています。IE 自体にはまだ問題が残っているようです。

また、Mozilla Japan ニュースによると、Flash Player プラグインのセキュリティ修正版がリリースされたのでアップデートするよう指示が出ています。こちらも、Firefox 版だけでなく、IE 版の Flash Player プラグインもアップデートする必要があります。これは Firefox 上で、Windows Media Player を通じて、Internet Explorer 版の Flash Player プラグインが呼び出される場合があるためだそうです。

Windows で生きていくうえは、IE と一蓮托生ということですな。

ところで、プラグインのバージョン確認や更新はとても面倒ですが、Firefox 3 では、プラグインの管理がアドオンマネージャに統合されます。更新通知ができるようになるといいのですが。

最終更新: 2007年7月20日(金) 22時44分

コメント (3)

1 7/14 11:29 あ
(c1) [2007/07/14 11:29:40] by

> プラグインのバージョン確認や更新はとても面倒ですが、Firefox 3 では、プラグインの管理がアドオンマネージャに統合されます。

Firefox 2 でも、プラグインを提供する側がアドオン形式で提供してくれれば、実はアドオンマネージャで管理できます。
アドオンマネージャで管理できるプラグインの例(っていうか、自作): http://a.withfirefox.org/xpi/mozaxplugin.xpi
(ActiveX が使えるようになってしまうので、テスト時以外は削除してくださいね。)

メジャーなプラグインで、アドオン形式で提供されているものを見たことがないのが難点ですが…

2 7/14 12:41 Cai
(c2) [2007/07/14 12:41:35] by Cai

> Firefox 2 でも、プラグインを提供する側がアドオン形式で提供してくれれば、実はアドオンマネージャで管理できます。

現状だと IE Tab くらいですね。

3 7/16 14:37 あ
(c3) [2007/07/16 14:37:38] by

> > Firefox 2 でも、プラグインを提供する側がアドオン形式で提供してくれれば、実はアドオンマネージャで管理できます。
>
> 現状だと IE Tab くらいですね。

IE Tab のように、拡張機能の中にプラグインを含めることができる… というだけではなくて、
アドオンのウィンドウの中の「拡張機能」「テーマ」等と並んで、もともと「プラグイン」という項目も用意されているんです。
1 個もインストールされていない場合は非表示になっているので、見る機会がなかなかありませんが。
スクリーンショット: http://a.withfirefox.org/screenshot/plugin.png

トラックバック (1)

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。