FirefoxがDLL読み込み脆弱性に対応

 Windows DLLの読み込みに関する脆弱性が発見されたのに対して、Firefoxはバージョン3.6.9にマイナーアップしていち早く対応したようだ。裏を返せば、FirefoxもこのDLLの脆弱性に対して例外ではなかったようだ。

FirefoxとThunderbirdの最新版が公開、DLL読み込みの脆弱性を解決(ITmedia)
WindowsのDLL読み込みの脆弱性発覚、Microsoftがアドバイザリー公開(8.25)

 Firefoxでは「dwmapi.dll」というDLLファイルが起動時に読み込まれるという。Windows XPではもともとdwmapi.dllは存在せずに、カレントディレクトリからライブラリをロードしようとするのだという。ところがそのないはずの仕掛けられたdwmapi.dllがカレントディレクトリに存在すれば、そこをエントリーポイントとして悪質コードを読み込ませることが可能になるのだという。


 XPでFirefoxを読み込む際には、正しくライブラリがロードされるように修正されたようだが、あくまでFirefoxだけが対策されたに過ぎない。ネットを通じてということからは、アプリとしてもブラウザやメーラーの修正は重大だと思えるが、他の個々のアプリの修正やバージョンアップは大変である。


 結局、XPはSP3であっても使わない方が無難ということになりかねない。今もこのブログをXP/SP3のネットブック環境で書いているのだが。