フェンリル

Developer's Blog

URI アクションの活用

Plugin 開発担当の大倉です。
Firefox が “firefoxurl://” というURLハンドラを使用することを悪用し、Internet Explorer 経由で Firefox の危険なコマンドが実行できてしまう。
このようなセキュリティリスクに関する情報が公開されました。
FrSIRTによる脆弱性情報
この問題は Trident エンジンを使用する Sleipnir にも影響する可能性があります。レジストリの中の URLハンドラを削除する方法もありますが、レジストリ操作のスキルが必要なため、Sleipnir でできる簡単な方法を紹介します。
Sleipnir には URI アクションという機能があり、この機能を応用してサイト上に仕掛けられた危険な URL ハンドラを Sleipnir 上で無効化できます。
【手順】
1.ツール | URI アクションの有効 をチェック・オン
2.ツール | URI アクションマネージャ を選択
3.URI アクションマネージャの “追加” ボタンを実行
4.表示されたダイアログの URI 欄に “firefoxurl:*” を入力 (ページ最後の補足参照)
5.アクション欄は “何もしない” を選択
6.”OK” ボタンで保存
このような機能は常に実装と改善を繰り返しております。
念のために Sleipnir の最新版へのアップデートもご検討ください。

私にとって Sleipnir の魅力は、カスタマイズ性や多機能という言葉だけでは言い表せない応用のできる機能が豊富に用意されていることだとおもっています。
これはビジネスシーンで使用する場合に非常に重要なことです。
その他にも “javascript:*” などを登録して Anchor tag に埋め込まれたスクリプトの実行を抑制することも可能です。是非とも URI アクションをご活用ください。
【参考】

CNET-Japan >IEとFirefoxをインストールしている人は要注意–「非常に重大」なセキュリティリスク
悪質なウェブサイトを回避する以外にも、システム管理者がFirefox URLのURLハンドラを
削除したり、Firefoxによるchrome入力の受け入れ方法を変えることができると、
Kristensen氏は語っている。

INTERNET Watch – Firefoxに危険度の高い脆弱性、IEからの呼び出しを悪用
基本的には Internet Explorer / Firefox 側の対策が望まれる訳ですが、現時点で可能な対策を紹介いたしました。
引き続き情報収集はおこなっていきます。
【補足】
コメント欄で “firefox*://*” と表記する方が良いのではないかとのご指摘をいただきました。動作検証した限りでは “firefox*://*” でも問題ありませんのでコチラの方法を推奨させていただきたいとおもいます。
レジストリの操作方法は セキュリティホール memo で詳しい解説が紹介されています。
とてもわかりやすい解説に感謝いたします!

Facebook コメント

コメント

睦月2007年07月12日 13:24

firefoxhtml://

firefox.url://
も同様にレジストリに登録されていることがあるようです。
FireFoxに詳しくありませんが、
firefox*://*
のような設定の方が安全であるように思います。

大倉2007年07月12日 17:52

睦月さん
ありがとうございます。
こちらで検証した限りでは firefox*://* でも
問題はないようです。
そのように補足させていただきたいとおもいます。

名前(必須)

メールアドレス(必須)

URL

スタイル用のタグが使えます

このコメント欄でのご質問、ご要望には、開発チームから回答できない場合があります。ご質問、ご要望は「User Community」内のフォーラムまでお寄せください。