パスワードを忘れた? アカウント作成
8531 story

Windows版Mozilla/Firefox/Thunderbirdに脆弱性発覚 97

ストーリー by GetSet
思い当たる人は対処を 部門より

marusa 曰く、 "mozilla.orgのリリースによると、Windows版のMozilla、FirefoxおよびThunderbirdについて、「shell:プロトコルに起因する脆弱性」が発見されたそうです。この脆弱性は2004/7/7にメーリングリストへ報告され、同日Mozillaセキュリティチームが問題を確認し、翌7/8に「shell:プロトコルのハンドラを無効にする」という方法でfixされました。
それぞれMozilla1.7.1/Firefox0.9.2/Thunderbird0.7.2にバージョンアップを行うか、パッチ(shellblock.xpi)を適用するようにとアナウンスされています(新バージョンおよびパッチはいずれも上記のリリースページから取得できます)
なお、この脆弱性の影響を受けるのはWindows版のみで、LinuxとMacintoshプラットフォームには影響しません。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日本語記事 (スコア:3, 参考になる)

    by rltm (630) on 2004年07月09日 13時11分 (#585995)
    「shell: プロトコルセキュリティ問題についてMozilla ユーザが知っておくべきこと」
    http://jt.mozilla.gr.jp/security/shell.html
  • by naruse (12596) on 2004年07月09日 15時21分 (#586119) ホームページ 日記
    昔IEでも一度shellプロトコル周りの不具合が見つかっていましたね。
    2000年、conconの少しあとくらいだったでしょうか。
    あまり話題にはなりませんでしたが。

    ちなみに内容は、Win2k+IE5でshell://...を指定すると落ちる、というものです。

    今ではこの問題は修正され、shell://は、指定すると問答無用ではじかれます。
    • by Anonymous Coward on 2004年07月09日 19時40分 (#586253)
      これ以外に新にバックドアを作っているようですが.... [rbbtoday.com]

      ユーザーの誤変換をフィードバックするとか言ってますけど、
      パスワードとかネットに流れそうですが、キーロガーですね

      #所詮チャネラーの言葉が集まるだけだと思うが
      #ま、新たなトラブルの予感
      親コメント
  • by Anonymous Coward on 2004年07月09日 12時40分 (#585972)
    MozillaのバグというよりWindowsの機能じゃん...
    誰だshell:なんて作ったのは。
    • ほんとに?
      そんなに安易にMozillaの問題の責任を Windows になすりつけて
      大丈夫ですか?
      • by Anonymous Coward on 2004年07月09日 17時24分 (#586189)
        元ACだ。詳しく説明しよう。

        Windowsのレジストリには拡張子の関連付けと同様に任意の
        URL schemeにアプリケーションを関連付ける機能が存在する。
        IEやMozilla等のブラウザは自身で処理できないURLに遭遇した
        場合、この情報を利用して外部のアプリケーションを起動する。

        この機構が存在する事でブラウザは自身にとって未知の、
        mms://やed2k://の様な外部のアプリケーション独自の
        schemeを持ったURLを問題無く開けるようになっている。

        この性質により独自schemeのURLに関するセキュリティは
        レジストリの関連付けの安全性に依存することになるが、
        当然その関連付けは安全であることが期待されている。

        しかしWindows自身が登録したshell:の関連付けは上記の
        期待に反して安全では無かった。これが今回の問題の原因だ。

        上記の「期待」に関してはIEも同様である為、危険なschemeを
        レジストリに登録してやれば幾らでも新しい脆弱性が作れる。
        IEが今回のshell:の影響を受けないのはそれが自分で埋めた
        地雷であるからに過ぎず、他人の埋めた地雷は避けられない。

        試しに以下の文書を参考に適当なschemeを登録してその
        URLをIEやMozillaから開いてみるといいだろう。関連付け
        次第でどんなアプリケーションでも起動できる事を確認できる。
        Registering an Application to a URL Protocol [microsoft.com]

        結論として、IEやMozilla等がこの問題を完全に
        回避するにはレジストリの情報を信頼して外部の
        アプリケーションを起動することを止めるしかない。
        親コメント
        • by Anonymous Coward on 2004年07月09日 19時40分 (#586254)
          仕組み的にはその通りなのでしょうが、
          WindowsのschemeハンドラにはWindowsなりのセキュリティモデルが規定されているのではないでしょうか。
          そのschemeハンドラを使うからには、そのお作法に従って書く必要があるところ、従わなかった

          という可能性はないですか?

          類似の話として、独自メーラがHTML対応のためにIEコンポーネントを使う際に、そのセキュリティモデルを理解せずに作法に従わずに使用したため、Active Xコントロール等がマイコンピュータゾーンで動いてしまうという脆弱性が、昔ありました。

          「Becky!」、「EdMaxフリー版」のセキュリティ問題対策版がリリース (99/07/06) [impress.co.jp]
          親コメント
          • by Anonymous Coward on 2004年07月10日 0時12分 (#586339)
            元々ウェブページを含めた信頼できないソースから呼び出される
            物だから、そういう呼び出しに対しても安全なschemeのみ
            関連付け登録するというセキュリティモデルだった。

            このモデルはshell:の存在によって破壊されたと言えるから、
            ブラウザは外部のアプリケーションに関連付けられたURLを
            開くときにユーザに確認するなどの事をするべきだとは思う。
            親コメント
  • by yukichi (12361) on 2004年07月09日 15時08分 (#586106) ホームページ
    こういうニュースが出るたびに政治的な争いごとを聞かされるは、もうたくさんです。
    みなさん、自分の気に入ったブラウザを支援して、安全性の強化に努めて行きましょう。

    はっきりいって、いくつかの意見は気疲れする。覗かなければいいだけなのかも知れないけど。
    • オフトピにレスするのも気苦しいのですが、
      自分も気疲れします。

      でも、そういう意見を述べることが好きな/.erも
      いらっしゃるってことでしょう。

      自分の好き嫌いだけを述べたコメントが嫌いって人もいますからね:-P
      親コメント
  • by Flanker (22257) on 2004年07月09日 12時32分 (#585959)
    なんか本家のDLはかなり重いというか接続に時間が掛かりますね。
    一方もじら組 [mozilla.gr.jp]の方はRINGサーバの為なのか快適と言えるほどではないかもですがすんなりDL出来ました。
    影響範囲がWindowsだけ?ってことならとりあえずWindowsマシンの人に優先DLさせてもらえれば良いのでは?
    #ってことで、Mac版のDLは後回しにしてます。
    --
    腐乱化…もといFlanker
    • Re:スラド効果? (スコア:2, 参考になる)

      by Anonymous Coward on 2004年07月09日 13時11分 (#585996)
      手動でnetwork.protocol-handler.external.shellをfalseにするだけではダメなのでしょうか?

              // block shell: protocol handler (bug250180)
              pref("network.protocol-handler.external.shell", false);
      親コメント
      • Re:スラド効果? (スコア:3, 参考になる)

        by Flanker (22257) on 2004年07月09日 13時21分 (#586001)
        >手動でnetwork.protocol-handler.external.shellをfalseにするだけではダメなのでしょうか?
        >// block shell: protocol handler (bug250180)
        >pref("network.protocol-handler.external.shell", false);
        もじら組にxpiが用意されている [mozilla.gr.jp]のでこちらを適用した方が簡単なのでは?
        #やってることは殆ど同じみたいなんですけど…
        --
        腐乱化…もといFlanker
        親コメント
        • Re:スラド効果? (スコア:4, 参考になる)

          by Flanker (22257) on 2004年07月09日 13時41分 (#586022)
          うを、ここにあるxpiは本家へのリンクでした orz
          もしも ftp.mozilla.org に繋がらないようでしたら、
          ロケーションバーに about:config と入れて、
          network.protocol-handler.external.shell の行をダブルクリック、
          ダイアログボックスの入力欄を false にして OK をクリック。
          これで同じことが出来ると思います。
          #間違ってたらごめんなさい。
          --
          腐乱化…もといFlanker
          親コメント
  • SpywareBlasterを3.2にあげたらFireFox0.8を認識してくれなくなったので
    ついでにFireFoxも最新版へ・・・
    --
    LAN内LAN稼働中
  • Windows嫌いなプログラマが、わざとWindows版にだけに影響する脆弱性を盛り込んで
    しまったとも思えない。Windowsの開発環境や実行環境において「通常使っていること
    が、実は危険なこと」ということが、たまたま発露したのだろうか?そこらへんがわから
    ないので、教えてほしい。
  • by Anonymous Coward on 2004年07月09日 12時24分 (#585949)
    FIREFOX0.8(Win用)でした。

    アップデートしなきゃ。
  • by Anonymous Coward on 2004年07月09日 12時27分 (#585954)
    すみません。この記事を見るまで、"shell:"なんて恐ろしいものがこの世にあるとは思ってもみませんでした。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...