Firefox“プラス”IEで、PCを乗っ取られる脆弱性が発覚――修正パッチはいまだ配布されず/index/rss|システム運用管理|トピックス|Computerworld

　7月10日に明らかになった「Firefox」の脆弱性をめぐり、セキュリティ専門家らの意見が対立している。

　この脆弱性は、米国モジラのFirefox 2.0.0.2以降と、米国マイクロソフトの「Internet Explorer（IE）」がインストールされたPCで、「firefoxurl://」プロトコルを忍ばせた悪意あるWebサイトにIEでアクセスした場合、Firefoxが強制的に起動され、遠隔地からPCの操作を乗っ取られる可能性があるというものだ。

　攻撃対象となるPCは、IEとFirefox（2.0.0.2以降）の両方がインストールされていることが“条件”となる。そのため、マイクロソフトとモジラのどちらに責任があるのか、研究者やセキュリティ会社の意見は真っ二つに分かれている。

　セキュリティ研究者のトール・ラーホルム氏は、IE側に問題があり、マイクロソフトに責任があると主張する。

　ラーホルム氏は自身のブログで、「IEには、URLのプロトコルを処理するプロセスに任意の引数を指定できるという、入力検証の欠陥がある」と指摘、それが原因で問題が発生したと結論づけている。

　ラーホルム氏によると、Firefoxは「FirefoxURL」というURLプロトコル・ハンドラを、インストール時にレジストリに登録するため、URI（Uniform Resource Identifier）に「firefoxurl://」が使われている場合、このハンドラがFirefoxを強制的に起動させるという。

　一方、IEはプロトコルの入力検証を実行しない。そのため、攻撃者はIEを使ってブラウザにJavaScriptコードなどの悪意あるスクリプトを送り込み、PCの操作を乗っ取ることができるという。米国シマンテックのアナリストも、ラーホルム氏と同じ見解だ。

　ラーホルム氏は、米国アップルが今年6月にWindows対応の「Safari 3.0」（ベータ版）をリリースした当日、同ブラウザの脆弱性を突き止めている（関連記事）。同氏は、IEの入力検証機能の欠陥は、Safari 3.0で見つかった脆弱性と似ていると指摘している。

　これとはまったく逆に、問題の原因はFirefoxにあると主張する研究者もいる。

　デンマークのセキュリティ・ベンダー、セキュニアでCTOを務めるトーマス・クリステンセン氏は、「ラーホルム氏の指摘に異論はない」としたうえで、「責任の所在は逆だ」と主張する。

　「これはIEの問題ではなく、Firefoxの問題だ。FirefoxによるURLプロトコル・ハンドラの登録方法が原因で、『firefoxurl://』プロトコルが強制的に起動させられたときに、IEからFirefoxにパラメータが渡されてしまうからだ」（クリステンセン氏）

　また、フランスのインターネット・セキュリティ・ベンダーFrSIRTも、セキュニアと同意見だという。

　セキュニアはこの脆弱性に対する攻撃を、同社の2番目に高い危険度「highly critical」としている。一方、FrSIRTは、この脆弱性を同社の最高危険度「critical」として、ユーザーに注意を呼びかけている。

　ラーホルム氏やセキュリティ研究者のビリー・リオス氏（通称“BK”）をはじめとする複数の研究者は、セキュリティ関連のメーリング・リストやWebサイトに、この脆弱性を実証するエクスプロイトを公開している。

　モジラの開発者であるダン・ベディッツ氏は先月、あるセキュリティ・メッセージ・フォーラムに、「モジラは将来のセキュリティ・アップデートで、（この脆弱性に適用させる）修正パッチを配布するつもりだ」というコメントを寄せた。

　なお、現時点ではモジラもマイクロソフトも、この脆弱性に対応する修正パッチを配布していない。