MB-Support

パソコン初心者のサポートページ

Firefox 2.0.0.5 アップデート

 Internet Explorer を通じた Firefox の起動を利用したリモートコードの実行を含む8つの問題を修正


Internet Explorer には、Windows プログラムを起動して悪質なWEBページからそのプログラムにURLを渡し、悪質なコードの実行に利用される 可能性が存在しますが、Firefoxも影響を受けるブラウザとなっていました。 今回のバージョンアップにより、Firefox へ危険なコードが渡るのを防ぎます。ただし、Internet Explorer の問題は修正されません。

その他、「wyciwyg://」ドキュメントへの不正アクセス、ドキュメント上にない要素に付随するイベントハンドラを利用した特権昇格など、いくつかの脆弱性が修正されています。 Firefox を利用するユーザーは、直ちにアップグレードを実行する事をおすすめします。

Firefox 2.0.0.5 で修正済み一覧(リンク切れ)



7月13日に Firefox をベースとした Netscape Navigator 9.0 Beta 2 のダウンロードが開始されました。 本当は今回の問題が修正された後に登場して欲しかったのですが、Beta 2 では問題が発覚した後に、修正前の Firefox 2.0.0.4 をベースとして公開されています。

Internet Explorer の問題は、プログラムにURLを渡し悪質なコードを実行する可能性なので、Firefox だけに影響するものでは無く、複数のアプリケーションに影響します(WEBサイトに組み込まれた悪質なプログラムにより異なる)。 つまり、Netscape Navigator も例外では無いと思われます。

Navigator 9 Beta 2 has been released - Netscape Blog(リンク切れ)



一方、肝心の Internet Explorer は、IE Blog で次のエントリーが投稿されています。

Enriching the Web Safely: How to Create Application Protocol Handlers

例えば、テキスト、あるいは画像に埋め込まれた mailto: をクリックすると、OS で通常利用するメーラーが起動します。 さらに、パラメタを埋め込む事で、タイトルを自動で挿入するなど。 これらのアプリケーションを呼びだすための機能は、脆弱性に繋がる一方、便利なために存在するものであり、全てを排除して安全を確保するか、便利性を優先するかにより判断は異なり、ブラウザベースで決定する安全ラインのポジションが非常に難しい部分でもあります。

Asynchronous Pluggable Protocols





Copyright © 2019 MB-Support パソコン初心者のサポートページ All Rights Reserved.

管理人のご挨拶プライバシーポリシー著作権/免責事項