Mozilla Foundation セキュリティアドバイザリ 2007-36
- タイトル
- 不正に % エンコードされた URI が Windows によって誤って処理される
- 重要度
- 中
- 公開日
- 2007/10/18
- 報告者
- Billy Rios、Nate McFeters、Secunia
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.8
- Thunderbird 2.0.0.9
- SeaMonkey 1.1.5
概要
Internet Explorer 7 がインストールされた Windows XP 上では、一部の Web 関連 URI スキーマに不正な % エンコード配列が含まれていた場合、登録されたプロトコルハンドラが起動しません。これは Billy Rios と Nate McFeters の両氏によって最初に報告され、Secunia によってさらなる調査が行われたものです。MFSA 2007-27 に記載されている通り、既知の攻撃を抑えるパッチが Firefox 2.0.0.6 に含まれています。
この緩和措置は、不正なファイル処理プログラムが起動してしまうのを防げず、いくらかのリスクが残された状態でした。Firefox 2.0.0.8 では、Windows によってこれらの URI が誤って処理されるのを判別する追加修正を行い、不正なプログラムが起動しないようにしました。