.NET のセキュリティ脆弱性が Firefox に影響

作者 Abel Avram , 翻訳者 吉田 英人 投稿日 2009年10月25日

セクション

デベロップメント,

設計/アーキテクチャ

トピック

セキュリティ ,

.NET ,

Architecture

タグ

Internet Explorer ,

Vulnerabilities ,

Browsers ,

Firefox

原文(投稿日：2009/10/22)へのリンク

.NET を通じて Internet Explorer に影響するセキュリティ上の脆弱性が，Firefox にも影響を及ぼしている。その原因である .Net アドオンが Mozilla のブロックリストに登録された。

XBAP すなわち XAML ブラウザアプリケーション(XAML Browser Application) は Windows で RIA を開発するための技術だ。ブラウザを実行対象とするアプリケーションの開発という目的では Silverlight も同じだが，XBAP では .NET と XAML のすべての機能にアクセスするような大規模アプリケーションの開発が可能である。.xbap という拡張子の XBAP アプリケーションは ローカルシステムから，あるいはシングルクリックによってインターネットから IE にロードされ，サンドボックス内で実行される。XBAP は .NET 3.0 で提供されたが，その利用は IE6-8 でのみ可能だった。しかし .NET 3.5 では “Windows Presentation Foundation” (WPF) という Firefox プラグインがインストールされるようになり，Firefox ユーザにも XBAP アプリケーションの利用が可能になった。

Mozilla の開発部門 VP である Mike Shaver 氏によれば，.NET の XBAP コンポーネントにセキュリティ上の脆弱性が発見，報告されたのは７月ということだ。同じ脆弱性についてはその後， Microsoft が MS09-054 として詳細を公表し，「緊急」レベルと判定した。また Microsoft の Security Research and Defense ブログには さらに詳細な情報 が提供されている。Microsoft の説明では，この脆弱性は悪意のあるWebサイトがクライアント上でコードを実行することを可能にするものだ。このような脆弱性は過去にも数多く発見されているが，今回は IE だけでなく Firefox にも影響するという点で，これまでとは違っている。

Microsoft は Mozilla と共同でこの問題に対処中である。ユーザを保護するため，Mozilla は WPF プラグインを他の問題のあるプラグインと同じ ブロックリスト に追加した。Firefox はこのような禁止アドオンを自動的にチェックして，それを発見した場合にはユーザに以下のような通知を行う。

ユーザはアドオンの無効化を選択できるが，この警告を無視することも可能だ。

Microsoft は IE に関する累積的なセキュリティ更新 KB 974455 を発行し，自動更新によるユーザへの配信を１週間以上前に開始している。多くのユーザがすでにパッチを適用しているが，それでも Mozilla は，パッチ未適用のシステム数が十分に小さくなるまで WPF アドオンをブロックリストに留める，と発表している。次の表示は WPF アドオンが ブロックリスト に掲載されていることを示すものだ。

Firefox のブロックリストにはもうひとつ，重要なアドオンが載せられている。それは Apple の QuickTime プラグイン v7.1.* であり，理由は同じくリモートコード実行(bug 430826)だ。

このようなやり方に対して，ユーザからは Mozilla のアプローチ方法への疑問の声も上がっている。例えば Bertrand Le Roy 氏の質問，

全体として非常によい方法に思えますが，疑問も持たざるを得ません。「この次セキュリティ問題が発生したら，Mozilla は Flash を無効にするつもりなのか」と。

に対して，Mike Shaver 氏が次のように答えている。

それが脆弱性に対する最善の対処方法であると Adobe が合意するならば，そのようにするでしょう。あるいはアップデートが配布されるまでの "安全カバー" を提供することになるかも知れません。

Shaver 氏によると今回のアプローチは，この問題に関して Microsoft と緊密な協力作業を行った Mozilla が決定した，とのことだ。

• 次へ >