Firefox“プラス”IEで、PCを乗っ取られる脆弱性が発覚――非があるのはMSかMozillaか、専門家の間でも意見は真っ二つに
この脆弱性は、米国MozillaのFirefox 2.0.0.2以降と、米国Microsoftの「Internet Explorer(IE)」がインストールされたPCで、「firefoxurl://」プロトコルを忍ばせた悪意あるWebサイトにIEでアクセスした場合、Firefoxが強制的に起動され、遠隔地からPCの操作を乗っ取られる可能性があるというものだ。
攻撃対象となるPCは、IEとFirefox(2.0.0.2以降)の両方がインストールされていることが“条件”となる。そのため、MicrosoftとMozillaのどちらに責任があるのか、研究者やセキュリティ会社の意見は真っ二つに分かれている。
セキュリティ研究者のトール・ラーホルム氏は、IE側に問題があり、Microsoftに責任があると主張する。
ラーホルム氏は自身のブログで、「IEには、URLのプロトコルを処理するプロセスに任意の引数を指定できるという、入力検証の欠陥がある」と指摘、それが原因で問題が発生したと結論づけている。
ラーホルム氏によると、Firefoxは「FirefoxURL」というURLプロトコル・ハンドラを、インストール時にレジストリに登録するため、 URI(Uniform Resource Identifier)に「firefoxurl://」が使われている場合、このハンドラがFirefoxを強制的に起動させるという。
一方、IEはプロトコルの入力検証を実行しない。そのため、攻撃者はIEを使ってブラウザにJavaScriptコードなどの悪意あるスクリプトを送り込み、PCの操作を乗っ取ることができるという。米国Symantecのアナリストも、ラーホルム氏と同じ見解だ。
ラーホルム氏は、米国Appleが今年6月にWindows対応の「Safari 3.0」(ベータ版)をリリースした当日、同ブラウザの脆弱性を突き止めている(関連記事)。同氏は、IEの入力検証機能の欠陥は、Safari 3.0で見つかった脆弱性と似ていると指摘している。
これとはまったく逆に、問題の原因はFirefoxにあると主張する研究者もいる。
デンマークのセキュリティ・ベンダー、セキュニアでCTOを務めるトーマス・クリステンセン氏は、「ラーホルム氏の指摘に異論はない」としたうえで、「責任の所在は逆だ」と主張する。
「これはIEの問題ではなく、Firefoxの問題だ。FirefoxによるURLプロトコル・ハンドラの登録方法が原因で、『firefoxurl://』プロトコルが強制的に起動させられたときに、IEからFirefoxにパラメータが渡されてしまうからだ」(クリステンセン氏)
また、フランスのインターネット・セキュリティ・ベンダーFrSIRTも、セキュニアと同意見だという。
セキュニアはこの脆弱性に対する攻撃を、同社の2番目に高い危険度「highly critical」としている。一方、FrSIRTは、この脆弱性を同社の最高危険度「critical」として、ユーザーに注意を呼びかけている。
ラーホルム氏やセキュリティ研究者のビリー・リオス氏(通称“BK”)をはじめとする複数の研究者は、セキュリティ関連のメーリング・リストやWebサイトに、この脆弱性を実証するエクスプロイトを公開している。
Mozillaの開発者であるダン・ベディッツ氏は先月、あるセキュリティ・メッセージ・フォーラムに、「Mozillaは将来のセキュリティ・アップデートで、(この脆弱性に適用させる)修正パッチを配布するつもりだ」というコメントを寄せた。
なお、現時点ではMozillaもMicrosoftも、この脆弱性に対応する修正パッチを配布していない。
(グレッグ・カイザー/Computerworldオンライン米国版)
米国Mozilla
http://www.mozilla.com/
米国Microsoft
http://www.microsoft.com/
提供:Computerworld.jp
