『Firefox 2.0.0.7』で『QuickTime』がらみの脆弱性を修正

Mozilla Foundation は18日、ゼロデイ攻撃をかわすためにコミュニティの開発者を動員し、セキュリティ上の問題を修正した Web ブラウザの最新版『Firefox 2.0.0.7』をリリースした。Apple の『QuickTime』に関連した脆弱性に対応したものだ。

Firefox 2.0.0.7 が対応した脆弱性だが、セキュリティ研究者の Petko D. Petkov 氏が12日に報告した情報によると、Apple の QuickTime 形式ファイルが持つ機能を悪用することで、Firefox を足がかりに攻撃を受ける可能性があるという。具体的には QuickTime からコマンドライン オプション付きで Firefox を起動することが可能で、攻撃者は該当ユーザーの権限で遠隔的に任意のスクリプトコマンドを実行できる。

「この脆弱性を突くと、ブラウザはもちろん、おそらくその基盤となっている OS までもが、完全に乗っ取られる事態につながりかねない」と、Petkov 氏は自身が記した勧告の中で警告した。

Petkov 氏の警告を受け、Mozilla はその日のうちに問題の脆弱性について、バグ追跡システム『Bugzilla』で識別番号「#395942」を与え、すぐさま修正作業を開始した。Mozilla の開発者 Gavin Sharp 氏は Bugzilla の投稿で、任意のパラメータを用いて (OS) 既定のブラウザを起動できないよう、QuickTime のプラグインを修正すべきだと書いている。

Mozilla はつい最近も、Firefox 2.0.0.5 で同様の問題に対応した。これはセキュリティ勧告「MFSA 2007-23」として知られる問題で、『Internet Explorer』(IE) に存在する脆弱性の影響により、IE から Firefox を起動することで、遠隔コード実行に至るという内容だった。

Mozilla は、今回の QuickTime による Firefox 起動時に起きうる問題について、セキュリティ勧告「MFSA 2007-28」を公開した。その中には次のような記述がある。「MFSA 2007-23 で行なった修正は、この種の攻撃防止を意図したものだったが、QuickTime が予想外の方法でそのときの修正を回避し、ブラウザを呼び出してしまう。この問題から Firefox のユーザーを保護するため、コマンドラインを通じて任意のスクリプトを実行できる機能を除去した。ただし、他のコマンドライン オプションはまだ有効だ。そしてこの問題について QuickTime が対応するまで、ポップアップ ウインドウやダイアログでユーザーを煩わせるため、QuickTime のメディアリンク ファイルが利用される可能性がある」

Mozilla によると、最近 Apple が更新した最新版の QuickTime 7.1.5 でも、この問題は残っているという。Mozilla の最高セキュリティ責任者 Window Snyder 氏は Blog の中で、今回の修正は Firefox に対するものだが、ユーザーの安全を維持するため、Mozilla は Apple と協力していると述べた。