.NET を通じて Internet Explorer に影響するセキュリティ上の脆弱性が,Firefox にも影響を及ぼしている。その原因である .Net アドオンが Mozilla のブロックリストに登録された。
XBAP すなわち XAML ブラウザアプリケーション(XAML Browser Application) は Windows で RIA を開発するための技術だ。ブラウザを実行対象とするアプリケーションの開発という目的では Silverlight も同じだが,XBAP では .NET と XAML のすべての機能にアクセスするような大規模アプリケーションの開発が可能である。.xbap という拡張子の XBAP アプリケーションは ローカルシステムから,あるいはシングルクリックによってインターネットから IE にロードされ,サンドボックス内で実行される。XBAP は .NET 3.0 で提供されたが,その利用は IE6-8 でのみ可能だった。しかし .NET 3.5 では “Windows Presentation Foundation” (WPF) という Firefox プラグインがインストールされるようになり,Firefox ユーザにも XBAP アプリケーションの利用が可能になった。
Mozilla の開発部門 VP である Mike Shaver 氏によれば,.NET の XBAP コンポーネントにセキュリティ上の脆弱性が発見,報告されたのは7月ということだ。同じ脆弱性についてはその後, Microsoft が MS09-054 として詳細を公表し,「緊急」レベルと判定した。また Microsoft の Security Research and Defense ブログには さらに詳細な情報 が提供されている。Microsoft の説明では,この脆弱性は悪意のあるWebサイトがクライアント上でコードを実行することを可能にするものだ。このような脆弱性は過去にも数多く発見されているが,今回は IE だけでなく Firefox にも影響するという点で,これまでとは違っている。
Microsoft は Mozilla と共同でこの問題に対処中である。ユーザを保護するため,Mozilla は WPF プラグインを他の問題のあるプラグインと同じ ブロックリスト に追加した。Firefox はこのような禁止アドオンを自動的にチェックして,それを発見した場合にはユーザに以下のような通知を行う。
ユーザはアドオンの無効化を選択できるが,この警告を無視することも可能だ。
Microsoft は IE に関する累積的なセキュリティ更新 KB 974455 を発行し,自動更新によるユーザへの配信を1週間以上前に開始している。多くのユーザがすでにパッチを適用しているが,それでも Mozilla は,パッチ未適用のシステム数が十分に小さくなるまで WPF アドオンをブロックリストに留める,と発表している。次の表示は WPF アドオンが ブロックリスト に掲載されていることを示すものだ。
Firefox のブロックリストにはもうひとつ,重要なアドオンが載せられている。それは Apple の QuickTime プラグイン v7.1.* であり,理由は同じくリモートコード実行(bug 430826)だ。
このようなやり方に対して,ユーザからは Mozilla のアプローチ方法への疑問の声も上がっている。例えば Bertrand Le Roy 氏の質問,
全体として非常によい方法に思えますが,疑問も持たざるを得ません。「この次セキュリティ問題が発生したら,Mozilla は Flash を無効にするつもりなのか」と。
に対して,Mike Shaver 氏が次のように答えている。
それが脆弱性に対する最善の対処方法であると Adobe が合意するならば,そのようにするでしょう。あるいはアップデートが配布されるまでの "安全カバー" を提供することになるかも知れません。
Shaver 氏によると今回のアプローチは,この問題に関して Microsoft と緊密な協力作業を行った Mozilla が決定した,とのことだ。