水無月ばけらのえび日記

IE + Firefox2 の脆弱性 追記

「IE + Firefox2 の脆弱性」というお話ですが、「私が FirefoxHTML を削除しない理由 (firefoxhacks.at.webry.info)」というお話があり、レジストリキー「FirefoxHTML」は本件とは関係ないという説が浮上しました。

実際にレジストリキー「FirefoxHTML」を元に戻した状態で PoC にアクセスしてみましたが、攻撃は成立しないようです。また、「FirefoxURL」だけを元に戻した状態では攻撃が成立しました。さらに、両方のキーを元に戻した状態で、IE7 から firefoxhtml: というスキームの URI にアクセスしてみましたが、うまく動かないようでした (firefoxurl: だと Firefox が起動しました)。

というわけで、「FirefoxHTML」のほうは無効化しなくても良いみたいですね。むしろこれはローカルのファイル拡張子関連づけを設定しているものなので、Firefox をメインで使っている場合は、ローカルの拡張子関連づけが無効になるという副作用があるようです。

※ちなみに、このレジストリキー編集の結果は再起動しなくても反映されます (試してみれば分かると思います)。

• 「IE + Firefox2 の脆弱性 追記」へのコメント (1件)

関連する話題: セキュリティ / Internet Explorer / Firefox