IE + Firefox2 の脆弱性 追記
2007年7月16日(月曜日)
IE + Firefox2 の脆弱性 追記
「IE + Firefox2 の脆弱性」というお話ですが、「私が FirefoxHTML を削除しない理由 (firefoxhacks.at.webry.info)」というお話があり、レジストリキー「FirefoxHTML」は本件とは関係ないという説が浮上しました。
実際にレジストリキー「FirefoxHTML」を元に戻した状態で PoC にアクセスしてみましたが、攻撃は成立しないようです。また、「FirefoxURL」だけを元に戻した状態では攻撃が成立しました。さらに、両方のキーを元に戻した状態で、IE7 から firefoxhtml: というスキームの URI にアクセスしてみましたが、うまく動かないようでした (firefoxurl: だと Firefox が起動しました)。
というわけで、「FirefoxHTML」のほうは無効化しなくても良いみたいですね。むしろこれはローカルのファイル拡張子関連づけを設定しているものなので、Firefox をメインで使っている場合は、ローカルの拡張子関連づけが無効になるという副作用があるようです。
※ちなみに、このレジストリキー編集の結果は再起動しなくても反映されます (試してみれば分かると思います)。
- 「IE + Firefox2 の脆弱性 追記」へのコメント (1件)
関連する話題: セキュリティ / Internet Explorer / Firefox
- 前(古い): Amazon Web サービス
- 次(新しい): ロデオクイーン