マイクロソフト製のFirefox向けプラグイン、脆弱性を理由に一時ブロック対象に
安全性が確認されたため、現在はブロック解除Microsoftによってひそかに追加されたFirefox向けプラグインが、セキュリティ・リスクをもたらすとして、一時的にブロック(無効化)の対象になった。
問題となったプラグインは、Microsoftが今年2月に追加した.NET Framework Assistant。Firefoxのユーザーによると、このアドオンは、説明もなく、ユーザーに同意を得ることもなくシステムにインストールされ、しかもアンインストールするのが難しいという。
Microsoftは10月13日、Internet Explorer(IE)向けの最新パッチを適用していないFirefoxユーザーに対して警告を発した。.NET Framework Assistantのバグにより、“ブラウズ・アンド・ゲット・オウンド”(browse-and-get-owned:閲覧すると乗っ取られる)攻撃に対して脆弱、というのが警告の内容だ。
「ユーザーを悪意あるWebサイトに誘い込むだけで可能となる攻撃だ」とMicrosoftは述べている。悪意あるXBAP(XAML Browser Application)の利用によっても、この脆弱性は誘発される。
併せてMicrosoftは、13日にリリースされたIEの更新プログラム「MS09-054」をインストールしたユーザーは同攻撃から保護される、としている。
こうしたMicrosoftの発表を受け、Mozillaではパッチをインストールしていないユーザーの保護を目的に、.NET Framework Assistantと、関連プラグインのWindows Presentation Foundationの2つのアドオンをブロックすることを決めた。実際、16日の夜遅く、これら2つのアドオンに対してブロックの措置が開始されている。
Mozillaのエンジニアリング担当バイスプレジデント、マイク・シェーバー(Mike Shaver)氏は、同社セキュリティ・ブログへの投稿の中で、「一部のユーザーにとっては、このアドオンを完全にアンインストールするのは困難だ。また、無効にしていない場合のリスクも深刻であるため、当社は16日、Microsoftに連絡をとり、当社のブロック・リストのメカニズムを通じて拡張機能とプラグインを無効にする旨を伝えた」と述べている。
ただし、シェーバー氏は2日後の18日、.NET Framework Assistantの安全性がMicrosoftによって確認されたとして、同アドオンのブロックを解除したことを明らかにした。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
