この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2006年9月)

2006年9月13日

IE Tab 1.1.0以前のデフォルト設定に脆弱性
初回投稿日時: 2006年09月13日15時35分33秒
カテゴリ: Software
SNS: (list)

二番目のサイトは有名なセキュリティ関係のblogらしいので、この脆弱性はその手の方々には有名なのかもしれない。

要するに、以前のデフォルト設定ではupdate.microsoft.com/がURLのどこに含まれていても—例えば、クエリやディレクトリ名として含まれていても—そのURLをIEで開いてしまうというもの。つまり、攻撃者は任意のページをIEで開かせることができるので、IE Tabを入れて、デフォルト設定を確認せずにそのまま使ってると、IEの持つ脆弱性はそのままそのユーザのFirefoxの脆弱性にもなってしまう。

Firefox使ってるから、ということで安心しているユーザはIEユーザよりも危険かもしれない。

最新の1.1.0.2では修正されている模様。(修正内容がfix the site filter minor bug.というのはいかがなものか。)

自主的に拡張を入れた人ならこういった問題に多少気を配っている可能性はあるが(おそらく大部分はそうではなさそうだが。私もそうだし。)、他人から勧められて入れてしまった人、というのが危ない気がする。もし、他人にこの拡張の導入を勧めた人が居るなら、その面倒も責任持って対処してほしい。

関連するかもしれないエントリ

関連するかもしれないエントリを発見できませんでしたが、無いとは限りません。