【 ここから本文 】

ITマネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示


[世界]
Firefox“プラス”IEで、PCを乗っ取られる脆弱性が発覚――修正パッチはいまだ配布されず

非があるのはMSかモジラか、専門家の間でも意見は真っ二つに

(2007年07月12日)

 7月10日に明らかになった「Firefox」の脆弱性をめぐり、セキュリティ専門家らの意見が対立している。

 この脆弱性は、米国モジラのFirefox 2.0.0.2以降と、米国マイクロソフトの「Internet Explorer(IE)」がインストールされたPCで、「firefoxurl://」プロトコルを忍ばせた悪意あるWebサイトにIEでアクセスした場合、Firefoxが強制的に起動され、遠隔地からPCの操作を乗っ取られる可能性があるというものだ。

 攻撃対象となるPCは、IEとFirefox(2.0.0.2以降)の両方がインストールされていることが“条件”となる。そのため、マイクロソフトとモジラのどちらに責任があるのか、研究者やセキュリティ会社の意見は真っ二つに分かれている。

 セキュリティ研究者のトール・ラーホルム氏は、IE側に問題があり、マイクロソフトに責任があると主張する。

 ラーホルム氏は自身のブログで、「IEには、URLのプロトコルを処理するプロセスに任意の引数を指定できるという、入力検証の欠陥がある」と指摘、それが原因で問題が発生したと結論づけている。

 ラーホルム氏によると、Firefoxは「FirefoxURL」というURLプロトコル・ハンドラを、インストール時にレジストリに登録するため、URI(Uniform Resource Identifier)に「firefoxurl://」が使われている場合、このハンドラがFirefoxを強制的に起動させるという。

 一方、IEはプロトコルの入力検証を実行しない。そのため、攻撃者はIEを使ってブラウザにJavaScriptコードなどの悪意あるスクリプトを送り込み、PCの操作を乗っ取ることができるという。米国シマンテックのアナリストも、ラーホルム氏と同じ見解だ。

 ラーホルム氏は、米国アップルが今年6月にWindows対応の「Safari 3.0」(ベータ版)をリリースした当日、同ブラウザの脆弱性を突き止めている(関連記事)。同氏は、IEの入力検証機能の欠陥は、Safari 3.0で見つかった脆弱性と似ていると指摘している。

 これとはまったく逆に、問題の原因はFirefoxにあると主張する研究者もいる。

 デンマークのセキュリティ・ベンダー、セキュニアでCTOを務めるトーマス・クリステンセン氏は、「ラーホルム氏の指摘に異論はない」としたうえで、「責任の所在は逆だ」と主張する。

 「これはIEの問題ではなく、Firefoxの問題だ。FirefoxによるURLプロトコル・ハンドラの登録方法が原因で、『firefoxurl://』プロトコルが強制的に起動させられたときに、IEからFirefoxにパラメータが渡されてしまうからだ」(クリステンセン氏)

 また、フランスのインターネット・セキュリティ・ベンダーFrSIRTも、セキュニアと同意見だという。

 セキュニアはこの脆弱性に対する攻撃を、同社の2番目に高い危険度「highly critical」としている。一方、FrSIRTは、この脆弱性を同社の最高危険度「critical」として、ユーザーに注意を呼びかけている。

 ラーホルム氏やセキュリティ研究者のビリー・リオス氏(通称“BK”)をはじめとする複数の研究者は、セキュリティ関連のメーリング・リストやWebサイトに、この脆弱性を実証するエクスプロイトを公開している。

 モジラの開発者であるダン・ベディッツ氏は先月、あるセキュリティ・メッセージ・フォーラムに、「モジラは将来のセキュリティ・アップデートで、(この脆弱性に適用させる)修正パッチを配布するつもりだ」というコメントを寄せた。

 なお、現時点ではモジラもマイクロソフトも、この脆弱性に対応する修正パッチを配布していない。

(グレッグ・カイザー/Computerworldオンライン米国版)




関連記事

▲ページの先頭へ戻る


ホワイトペーパー

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

キャッチアップ

IT運用管理の「今ある課題」と「解決へのアプローチ」[前編]

“システムの大規模化・複雑化”と“時代的ニーズ”にどう対応するか

IT運用管理の「今ある課題」と「解決へのアプローチ」[後編]

新たな課題への対応と運用管理ソフト市場の今後

ITガバナンス講座

「VMO」はなぜ必要か――手遅れにならないための体系的ベンダー管理

ITソーシング先との関係維持がコスト削減を成功に導く

COBITの開発元ITGI、新たな危機管理フレームワークの開発に着手

ITソーシング先との関係維持がコスト削減を成功に導く

高まるプロジェクト管理への関心、IT予算額の減少が一因

ITソーシング先との関係維持がコスト削減を成功に導く

企業のITリスク管理が進展、総合的・バランス重視の傾向に

セキュリティ技術重視の企業は減少

専門家がアドバイスするオフショアを成功に導く10の方法

自社に最適なオフショア・ベンダーを見つけだし、海外プロジェクトを円滑に進めるにはどうするべきか?

「全社横断型の戦略部門」への転換がIT部門の未来を切り開く

企業の“DNA”に沿った事業戦略をITで具現化するという「大役」を果たすためには

チェンジ・マネジメントの自動化を促進せよ

現行プロセスを見直し、効率性・管理性・監査性を再検証する

セキュリティ強化にはどの標準/フレームワークが“適役”か

COBIT/ISO 27001/ITIL/SAS 70/NIST

SOX法対策で再び注目を集めるフレームワーク「COBIT」

コスト評価、サービス・レベルなどの課題をITで解決

EVM(アーンド・バリュー・マネジメント)に乗り遅れるな!

ITプロジェクトも、いまやEVM抜きでは管理できない時代に

ITマネジメント研究

データセンター管理のキーワードは「ITIL」と「自動化」――2つの調査に見るユーザー意識の高まり

「いずれも効率的なIT環境の実現に貢献」とアナリストが指摘

IT運用管理で用心すべき「5つの隠れたコスト」

ソフトウェア製品のコスト格差/ベンダー・ロックイン/生産性低下……

データセンター内をさまよう“幽霊サーバ”を暴き出せ!

存在していないはずなのに金だけは食う、やっかいものの正体とは

電子メール・アーカイブの構築を急ぐ米国企業

「訴訟対策」にとどまらない多大なメリットに期待

大容量データ時代のバックアップ新標準「データ・デデュープ」

バックアップ容量を大幅に削減する新技術のメカニズムを知る

Vistaのセキュリティを検証する

UAC、BitLockerなど主要強化点の実用度をチェック

「体感速度」の向上に着眼したアプリケーション監視手法

エンド・ツー・エンドのボトルネック検出でビジネス損失を回避する

データセンターを“サービス指向”で管理するSOMA

SOAにならい、管理オペレーションをサービスとして実装

ITプロジェクトは「スピード最優先」の時代に

競争優位に立つために、投資の早期回収を目指せ

データ漏洩・盗難対策を“完璧”に近づける「マルチレベル暗号化」のすすめ

ライフサイクル全般にわたるデータ保護を実現する

ILMの導入で、IT運用コストを引き下げろ!

ILMを成功裏に導入するための“6つのステップ”

スパム・メールとの終わりなき戦い

急増する脅威に対して、セキュリティ担当者がとりうる防御策とは?

サーバ・コンソリデーションの「計画ステップ」と「交渉ステップ」

綿密な計画を立てたのち、ベンダーから有利な契約条件を引き出す

新たな「電子開示」規則に企業はいかに対応すべきか

ドキュメントをより適切に分類/抽出/保管する

「シン・プロビジョニング」でストレージ・リソースの“無駄づかい”を撤廃する

手付かずの容量を有効活用するためのアプローチ

適切な要求仕様を仕上げるための8つの秘訣

“曖昧さ”がコストを肥大化させる

サーバ・プロビジョニングを最適化する

新世代の「boot-from-SAN」の実力に迫る

進化する「マネージド・サービス」

「New Data Center」は企業に何をもたらすか

資産管理ソフトウェアでIT投資の最適化を図る

TCO削減に加えコンプライアンス/セキュリティ対策にも有効

ITマネジメントの課題

ITIL採用の陰に潜む“習熟度”の問題――CIOへの調査結果で明らかに

多くのCIOがスキル不足を懸念。「ITILを本格的に実践」との回答は米国で10%未満

「仮想化サーバの管理に自信が持てない」とするCIOが半数以上に

懸案事項は、セキュリティ/異種インフラ管理/システム利用の最適化

社員のアクセス管理は「無法状態」――組織の分散化が原因?

「アクセス権に関する責任の所在は特定が困難で、検討機会もない」

企業の情報漏洩対策、最大の課題は従業員の意識改革

半数以上が社外秘情報を無断で持ち出した経験アリと回答

ITマネジャーがITILの導入を躊躇する10の理由

運用効率の向上とサービス管理の強化を約束するITILに、彼らが飛びつかないのはなぜ?

企業が陥るストレージの過剰購入

リソース管理ソフトを駆使して計画的な導入を!

先進ユーザーから学ぶサーバ仮想化導入の「落とし穴」

ネット構成、ライセンス、セキュリティに細心の注意を!

ストレージ・リソース管理(SRM)ソフトは使い物になるか?!

有用なチャージバック・モデル開発など、課題が山積

企業のコンプライアンス対応はいまだ不十分

完全な自動化を実現している企業はわずか3%

ITILの効果は顕著だがROIの計測は困難

有効な評価手段を持っている企業はわずか4%

ITマネジャーを悩ます携帯ストレージ・デバイスのセキュリティ・リスク

USBドライブなどの普及で増大する情報漏洩リスクに立ち向かう

Weekly Ranking

集計期間:11/15〜11/21



Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国