ArtSaltのサイドストーリー

音楽、フリーウェア、WEBサービス、食べものなどに関する日記。トラックバック、コメント歓迎。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

QuickTimeとFirefox使ってると、危険だよ

Firefoxユーザとしては不安なニュースが多い昨今ですが …

  • パソコンのOSがWindowsである
  • 既定のブラウザをFirefoxにしている
  • FirefoxのプラグインとしてQuickTimeを使っている
上記3つの条件を満たす人は要注意、というお話。
FirefoxとQuickTime悪用のエクスプロイトが公開 - ITmedia エンタープライズ

Firefoxから直接QuickTimeでファイルを開くと、なんか危険なことが起きる可能性があるらしいけど、上記ITmediaの記事読んでも、どういうふうに危険なのか、よくわかんない。
残念ながら、(2007年09月14日夕方の時点では)この件を深く掘り下げた日本語サイトにはお目にかかれなかったので、不慣れな英語サイトを手当たりしだいブログ検索してみた。

警告を発したのは Petko D. Petkov という人。
0DAY: QuickTime pwns Firefox | GNUCITIZEN

日本語で書かれていても私には意味不明なのだから、英語で理解できるわけがないんだけど、簡潔に言うと、FirefoxのQuickTimeプラグインで悪意のあるファイルを開くと、QuickTimeの脆弱性が突かれてFirefoxだけでなくPCがハックされてしまう、ということらしい。

以下はこの問題に対するMozillaの見解っていうか、皆さんおなじみの Window Snyder さんのブログ "Mozilla Security Blog" からの引用。

Issue

Petko D. Petkov identified an issue in Quicktime that allows an attacker to execute arbitrary code.

Impact

If Firefox is the default browser when a user plays a malicious media file handled by Quicktime, an attacker can use a vulnerability in Quicktime to compromise Firefox or the local machine. This can happen while browsing or by opening a malicious media file directly in Quicktime. So far this is only reproducible on Windows.

Petkov provided proof of concept code that may be easily converted into an exploit, so users should consider this a very serious issue.

Status

Mozilla is working with Apple to keep our users safe and we are also investigating ways to mitigate this more broadly in Firefox.

You can follow our work in bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=395942

Mozilla Security Blog » Blog Archives » Quicktime to Firefox issue

以下は意訳。翻訳の精度は保証しない。

▼▼▼▼▼ 意訳、ここから ▼▼▼▼▼

Firefoxを既定のブラウザにしている場合、QuickTimeによってハンドルされている悪意あるメディアファイルをユーザが開くと、攻撃者はQuickTimeの脆弱性を利用してFirefoxとローカルマシーンを危険にさらすことができる。
これは、ブラウジングしているとき、またはQuickTimeで直接そのファイルを開いたときに起きることであり、Windowsでのみ再現できる。

Petkov氏はexploit(後注)に転用しうるコンセプト・コードの証拠を提示してくれた。ユーザはこれを深刻な問題と受けとめるべきだ。

私たちMozillaはApple社とともにユーザの安全のために現在作業しており、この問題を軽減する方法を調査している。

▲▲▲▲▲ 意訳、ここまで ▲▲▲▲▲

(後注)

exploit … 英辞郎によれば、「セキュリティー上の弱点を突く手段、ツール。セキュリティー上の弱点」という意味らしい。

で、対策方法は?

「QuickTimeなんかアンインストールしちゃえばいいじゃん」と脳天気なことを言っている人がいるようだけど、この地球上にiPodユーザがどれだけいるのかご存じか。
ほとんどのユーザはiTunesを使って音楽を管理している。そして「QuickTimeだけアンインストールして、iTunesは残しておこう」なんてことを許さないのがAppleという会社なのだ。

もう一度言うと、この問題に関係するのは、「Windows使ってて、ブラウザのデフォをFirefoxにしていて、FirefoxのプラグインQuickTimeを使っている」っていう人たち。

とりあえず私はその場しのぎの対策として以下のことをやった。
こういうとき、FirefoxとOperaの両刀使いは気が楽だわ。

  • iTunesとQuickTimeを最新に更新(QuickTimeの最新は現在7.2)
  • 既定のブラウザをFirefoxからOperaに変更 /^o^\ フジサン

もちろんFirefoxの更新も確認し、NoScriptで防御。

2007年09月17日追記

Mozilla Firefox Thunderbird の拡張あれこれ-MEMO(2007年9月-2) - ■(9/17) あれこれ雑感

「Mozilla Firefox Thunderbird の拡張あれこれ-MEMO」さんが上記リンクでこのエントリをとりあげ、その後、同日に以下のようにおっしゃっている。

今日の最初の記事で書いたけれど QuickTime の問題があるのでこれをアンインストールしました.しかしそれよりもっと早い段階で Scene side B 「Firefox 2.0.0.7 RC」 の情報で FTP から RC 2 のディレクトリーから Firefox 2.0.0.7 RC を落としてインストールしていました.「『Firefox+QuickTimeの脆弱性』への対処が施されています。」とのことでだから慌てて QuickTime をアンインストールする必要がなかったのです.

Mozilla Firefox Thunderbird の拡張あれこれ-MEMO(2007年9月-2)

「Firefox+QuickTimeの脆弱性」に対処した Firefox 2.0.0.7 の正式リリースは今月17日か18日になるとのこと。

Google
WWW ArtSaltのサイドストーリー
Web site (optional)
Comment - Need to type CAPTCHA, an image of distorted Japanese Hiragana or Katakana afterward.
Password - Not allowed to modify your comment later if password not entered.
On secret mode?
 

http://art2006salt.blog60.fc2.com/tb.php/570-37755f62

このブログについて

最近のエントリ

カテゴリー
あわせて読みたいブログ

あわせて読みたい

最近のコメント
Internet Explorer
よりも便利です

Opera 9 - Always secure with Opera Firefoxをダウンロード!!

相互リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。