『Firefox』に『IE』を介した悪用を許す脆弱性

Mozilla Foundation のブラウザ最新版『Firefox 2.0.0.4』に任意のコマンドの実行を許しかねない不具合が存在し、ユーザーがコンピュータを乗っ取られるおそれがあると、複数のセキュリティ研究者が警告している。

うち少なくとも1人のセキュリティ研究者は、Firefox 2 と一緒に Microsoft の『Internet Explorer』(IE) をインストールしているマシンに問題が生じると指摘している。

Mozilla は目下、脆弱性の修正に取り組んでいる。

Mozilla の最高セキュリティ責任者 Window Snyder 氏は、取材に対し次のように語った。「われわれはこの問題を認識しており、修正プログラムの開発に取り組んでいるところだ。Mozilla は、最も安全なオンライン体験をユーザーに提供することを使命としている」

Snyder 氏は、修正プログラムの公開時期については明言しなかった。セキュリティ会社 Secunia は、この問題の深刻度を、5段階のうち上から2番目と評価している。

この問題は、Web から Firefox を呼び出せるようにするための「firefoxurl://」で始まる URI のハンドラにかかわるものだ。独立系のセキュリティ研究者たちは、ユーザーを危険にさらす悪質なコードを送り込むのに、この URI ハンドラが悪用されると主張している。

Billy (BK) Rios 氏、Nate Mcfeters 氏、Raghav "the Pope" Dube 氏の3人は、連名で公開したセキュリティ勧告の中で、Firefox 2 はインストール時に、『Windows』のレジストリに URI ハンドラとして「firefoxurl」を登録すると説明している。

同勧告には次のようにある。「これにより、HTML を読み込んで整形表示するアプリケーション (たとえば IE) から Firefox のインスタンスを生成できる。危険が生じるのは、『firefoxurl:』で始まる URI に含まれるパラメータが、安全性の検証もなく直接 Firefox.exe へ起動オプションとして渡されるときだ。firefoxurl URI を使えば、IE (またはその他の Windows ベースのブラウザ) を用いて FireFox を起動し、即座に JavaScript コードを実行することが可能になる」

独立系セキュリティ研究者 Thor Larholm 氏は、こうした危険が生じるのは、IE の側に問題があるとの見解を示している。