Firefox とIE の組み合わせで発生する脆弱性とその対処方法

• Firefoxに危険度の高い脆弱性、IEからの呼び出しを悪用
  http://internet.watch.impress.co.jp/cda/news/2007/07/11/16317.html
• ITmedia エンタープライズ：Firefoxの脆弱性、IE経由で悪用される恐れ
  http://www.itmedia.co.jp/enterprise/articles/0707/11/news015.html
• IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
  http://japan.cnet.com/news/sec/story/0,2000056024,20352586,00.htm

Firefox 単体での脆弱性ではなく、なんか、IE → Windows → Firefox という流れで任意のコードが実行されてしまうようです。
Firefox 2.0.0.4 以下のすべてにこの脆弱性があり、Firefox 2.0.0.5 でこの問題に対応する予定とのこと。

• ITmedia エンタープライズ：IE関与の脆弱性、Firefox側が対処を表明
  http://www.itmedia.co.jp/enterprise/articles/0707/13/news027.html

IE は使わず、Firefox でWeb につないでいる場合はこの影響を受けないようですが、念のため、以下の対処をやっといたほうがいいかも。

• FrSIRT - Mozilla Firefox "FirefoxURL" URI Handler Registration Code Execution Vulnerability / Exploit (Security Advisories)
  http://www.frsirt.com/english/advisories/2007/2473
• SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
  http://isc.sans.org/diary.html?storyid=3121
• Blocking the Firefox -> IE 0-day - Jesper's Blog
  http://msinfluentials.com/blogs/jesper/archive/2007/07/10/blocking-the-firefox-gt-ie-0-day.aspx

1. レジストリの"HKEY_CLASSES_ROOT\FirefoxURL" と"HKEY_CLASSES_ROOT\FirefoxHTML" をリネーム
2. Firefox にNoScript をインストールする
3. [ファイル名を指定して実行] から以下の3つを実行
   • reg delete HKCR\FirefoxHTML /f
   • reg delete HKCR\FirefoxURL /f
   • reg delete HKCR\Firefox.URL /f

一番簡単、安全なのはNoScript かな?　Firefox 使いなら是非おさえておきたい拡張機能なのでまだの場合はこの機会に是非。
ウチは念のため3つともやっておきました。ナゼか"HKEY_CLASSES_ROOT\FirefoxHTML" はなかったのでそこはスルーしました。
(2007/07/19 00:54 追記)

• Firefox 2.0.0.5 公開、早めのアップデートを
  /mt/archives/2007/07/19/firefox