- Firefoxに危険度の高い脆弱性、IEからの呼び出しを悪用
http://internet.watch.impress.co.jp/cda/news/2007/07/11/16317.html - ITmedia エンタープライズ:Firefoxの脆弱性、IE経由で悪用される恐れ
http://www.itmedia.co.jp/enterprise/articles/0707/11/news015.html - IEとFirefoxをインストールしている人は要注意–「非常に重大」なセキュリティリスク:ニュース – CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20352586,00.htm
Firefox 単体での脆弱性ではなく、なんか、IE → Windows → Firefox という流れで任意のコードが実行されてしまうようです。
Firefox 2.0.0.4 以下のすべてにこの脆弱性があり、Firefox 2.0.0.5 でこの問題に対応する予定とのこと。
- ITmedia エンタープライズ:IE関与の脆弱性、Firefox側が対処を表明
http://www.itmedia.co.jp/enterprise/articles/0707/13/news027.html
IE は使わず、Firefox でWeb につないでいる場合はこの影響を受けないようですが、念のため、以下の対処をやっといたほうがいいかも。
- FrSIRT – Mozilla Firefox “FirefoxURL” URI Handler Registration Code Execution Vulnerability / Exploit (Security Advisories)
http://www.frsirt.com/english/advisories/2007/2473 - SANS Internet Storm Center; Cooperative Network Security Community – Internet Security – isc
http://isc.sans.org/diary.html?storyid=3121 - NoScript をインストールする
- [ファイル名を指定して実行] から以下の3つを実行
- reg delete HKCR\FirefoxHTML /f
- reg delete HKCR\FirefoxURL /f
- reg delete HKCR\Firefox.URL /f
- Firefox 2.0.0.5 公開、早めのアップデートを
/mt/archives/2007/07/19/firefox
一番簡単、安全なのはNoScript かな? Firefox 使いなら是非おさえておきたい拡張機能なのでまだの場合はこの機会に是非。
ウチは念のため3つともやっておきました。ナゼか”HKEY_CLASSES_ROOT\FirefoxHTML” はなかったのでそこはスルーしました。
(2007/07/19 00:54 追記)