2010/04/14

Firefox2の脆弱性回避

IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。
Friedrichs氏の指摘によると、10月にバージョン2がリリースされたFirefoxは人気を博しているが、IEはWindows OSに付属しているため、大半のFirefoxユーザーのPCにはIEもインストールされているという。

この問題のリスクに直面している人の数は膨大な可能性があると、同氏は加えた。

SecuniaのKristensen氏は、「新しいURIハンドラは、『firefoxurl:// 』が呼び出されたときに、サイトがFirefoxを強制的に起動できるように、Windowsシステムでサポートされた。『ftp://』や『http: //』などがほかのアプリケーションを呼び出すのと同じだ」と語っている。

しかし、FirefoxのURIハンドラには登録方法に問題があり、「firefoxurl://」を起動すると、(プログラムを呼び出して特定のタスクを実行するための)パラメータが、MicrosoftのInternet ExplorerなどのアプリケーションからFirefoxにすべて渡されてしまう。

攻撃者が「chrome」コンテキストを使い、Firefoxで実行可能なコードをユーザーのシステムに挿入する場合があると Kristensen氏は述べる。chromeとは、表示ページの外側にあるフレームのユーザインタフェース部品のこと。

Kristensen氏は、「Windowsは、アプリケーションにとって危険な入力を適切に把握する手段を持ち合わせていないため、URIハンドラの登録は慎重に行うべきである。たとえば、Windowsは『chrome』という文字列がFirefoxにとって危険なことを知るすべを持ち合わせていない」と語っている。
悪質なウェブサイトを回避する以外にも、システム管理者がFirefox URLのURLハンドラを削除したり、Firefoxによるchrome入力の受け入れ方法を変えることができると、Kristensen氏は語っている。

コチラの記事より


IEとFirefoxを一緒にコンピュータに入れている事で起こる問題ですね。Thunderbirdを一緒に利用している場合でもあるようですが、2.0.0.5では修正されている模様。
コマンドライン引数のインジェクションなので、レジストリの以下のキーを無効にしておけば良いようです。
HKEY_CLASSES_ROOT\FirefoxURL