BT

.NET のセキュリティ脆弱性が Firefox に影響

| 作者: Abel Avram フォローする 8 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2009年10月25日. 推定読書時間: 3 分 |

原文(投稿日:2009/10/22)へのリンク

.NET を通じて Internet Explorer に影響するセキュリティ上の脆弱性が,Firefox にも影響を及ぼしている。その原因である .Net アドオンが Mozilla のブロックリストに登録された。

XBAP すなわち XAML ブラウザアプリケーション(XAML Browser Application) は Windows で RIA を開発するための技術だ。ブラウザを実行対象とするアプリケーションの開発という目的では Silverlight も同じだが,XBAP では .NET と XAML のすべての機能にアクセスするような大規模アプリケーションの開発が可能である。.xbap という拡張子の XBAP アプリケーションは ローカルシステムから,あるいはシングルクリックによってインターネットから IE にロードされ,サンドボックス内で実行される。XBAP は .NET 3.0 で提供されたが,その利用は IE6-8 でのみ可能だった。しかし .NET 3.5 では “Windows Presentation Foundation” (WPF) という Firefox プラグインがインストールされるようになり,Firefox ユーザにも XBAP アプリケーションの利用が可能になった。

Mozilla の開発部門 VP である Mike Shaver 氏によれば,.NET の XBAP コンポーネントにセキュリティ上の脆弱性が発見,報告されたのは7月ということだ。同じ脆弱性についてはその後, Microsoft が MS09-054 として詳細を公表し,「緊急」レベルと判定した。また Microsoft の Security Research and Defense ブログには さらに詳細な情報 が提供されている。Microsoft の説明では,この脆弱性は悪意のあるWebサイトがクライアント上でコードを実行することを可能にするものだ。このような脆弱性は過去にも数多く発見されているが,今回は IE だけでなく Firefox にも影響するという点で,これまでとは違っている。

Microsoft は Mozilla と共同でこの問題に対処中である。ユーザを保護するため,Mozilla は WPF プラグインを他の問題のあるプラグインと同じ ブロックリスト に追加した。Firefox はこのような禁止アドオンを自動的にチェックして,それを発見した場合にはユーザに以下のような通知を行う。

image

ユーザはアドオンの無効化を選択できるが,この警告を無視することも可能だ。

Microsoft は IE に関する累積的なセキュリティ更新 KB 974455 を発行し,自動更新によるユーザへの配信を1週間以上前に開始している。多くのユーザがすでにパッチを適用しているが,それでも Mozilla は,パッチ未適用のシステム数が十分に小さくなるまで WPF アドオンをブロックリストに留める,と発表している。次の表示は WPF アドオンが ブロックリスト に掲載されていることを示すものだ。

image

Firefox のブロックリストにはもうひとつ,重要なアドオンが載せられている。それは Apple の QuickTime プラグイン v7.1.* であり,理由は同じくリモートコード実行(bug 430826)だ。

このようなやり方に対して,ユーザからは Mozilla のアプローチ方法への疑問の声も上がっている。例えば Bertrand Le Roy 氏の質問

全体として非常によい方法に思えますが,疑問も持たざるを得ません。「この次セキュリティ問題が発生したら,Mozilla は Flash を無効にするつもりなのか」と。

に対して,Mike Shaver 氏が次のように答えている。

それが脆弱性に対する最善の対処方法であると Adobe が合意するならば,そのようにするでしょう。あるいはアップデートが配布されるまでの "安全カバー" を提供することになるかも知れません。

Shaver 氏によると今回のアプローチは,この問題に関して Microsoft と緊密な協力作業を行った Mozilla が決定した,とのことだ。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

.NETの派生を理解する

Wayne Citrin 2018年7月18日 午前3時44分

ASP.NET Core - シンプルの力

Chris Klug 2018年6月4日 午前3時26分

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT