Mozilla Foundation セキュリティアドバイザリ 2007-28
- タイトル
- QuickTime のメディアリンクファイルを通じたコードの実行
- 重要度
- 最高
- 公開日
- 2007/09/18
- 報告者
- Petko D. Petkov
- 影響を受ける製品
- Firefox
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.7
概要
Windows 上で、qtnext 属性を含む QuickTime のメディアリンクファイルを使って、任意のコマンドラインオプション付きで既定のブラウザを起動できることが、Petko D. Petkov 氏により 同氏のブログ 上で報告されました。既定のブラウザが Firefox 2.0.0.6 またはそれ以前のバージョンになっている場合、-chrome オプションを用いることで、遠隔地にいる攻撃者がユーザの全権でスクリプトコマンドを実行できてしまいます。これは、悪意のあるソフトウェアのインストール、ローカルデータの盗み出し、あるいはデータの破壊等に利用される可能性があります。
MFSA 2007-23 の修正はこの手の攻撃を防ぐことを意図したものでしたが、QuickTime はその修正を回避する予想外の方法でブラウザを呼び出すことが分かりました。Firefox ユーザをこの問題から守るため、コマンドラインから任意のスクリプトを実行できるようにする仕組みを削除しました。ただし、他のコマンドラインオプションはこれまでと変わらず利用できます。また、QuickTime 側でこの問題が修正されるまで、ポップアップウィンドウとダイアログを表示してユーザをイライラさせる目的でメディアリンクファイルが利用される可能性は残されています。
QuickTime の問題は CVE-2006-4965 に記載されているもののひとつと考えられますが、Apple が QuickTime 7.1.5 に適用した修正では、今回明らかになった問題を防ぐことができません。
注意: Gran Paradiso Alpha 8 にはこの脆弱性の修正は含まれていません。
回避策
この攻撃は、ブラウザの設定で JavaScript を無効にしても防ぐことはできません。修正が含まれていないバージョンでは、Web コンテンツの JavaScript 設定にかかわらず、Perl や Python といった言語用のインタプリタがコマンドラインによって渡されたスクリプトを実行するのと同様に、-chrome オプションを通じて渡されたスクリプトは実行されてしまいます。なお、NoScript 拡張機能には、MFSA 2007-23 に記載されているクロスブラウザ脆弱性が発見されて以来、この手の問題を防ぐ機能が含まれています。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=395942
CVE-2006-4965
"QuickTime pwns Firefox" (GNUCITIZEN blog)
QuickTime 7.1.5 のセキュリティコンテンツについて