水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > IE + Firefox2 の脆弱性 追記

IE + Firefox2 の脆弱性 追記

2007年7月16日(月曜日)

IE + Firefox2 の脆弱性 追記

IE + Firefox2 の脆弱性」というお話ですが、「私が FirefoxHTML を削除しない理由 (firefoxhacks.at.webry.info)」というお話があり、レジストリキー「FirefoxHTML」は本件とは関係ないという説が浮上しました。

実際にレジストリキー「FirefoxHTML」を元に戻した状態で PoC にアクセスしてみましたが、攻撃は成立しないようです。また、「FirefoxURL」だけを元に戻した状態では攻撃が成立しました。さらに、両方のキーを元に戻した状態で、IE7 から firefoxhtml: というスキームの URI にアクセスしてみましたが、うまく動かないようでした (firefoxurl: だと Firefox が起動しました)。

というわけで、「FirefoxHTML」のほうは無効化しなくても良いみたいですね。むしろこれはローカルのファイル拡張子関連づけを設定しているものなので、Firefox をメインで使っている場合は、ローカルの拡張子関連づけが無効になるという副作用があるようです。

※ちなみに、このレジストリキー編集の結果は再起動しなくても反映されます (試してみれば分かると思います)。

関連する話題: セキュリティ / Internet Explorer / Firefox

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト