FirefoxがDLL読み込み脆弱性に対応
Windows DLLの読み込みに関する脆弱性が発見されたのに対して、Firefoxはバージョン3.6.9にマイナーアップしていち早く対応したようだ。裏を返せば、FirefoxもこのDLLの脆弱性に対して例外ではなかったようだ。
FirefoxとThunderbirdの最新版が公開、DLL読み込みの脆弱性を解決(ITmedia) WindowsのDLL読み込みの脆弱性発覚、Microsoftがアドバイザリー公開(8.25)
Firefoxでは「dwmapi.dll」というDLLファイルが起動時に読み込まれるという。Windows XPではもともとdwmapi.dllは存在せずに、カレントディレクトリからライブラリをロードしようとするのだという。ところがそのないはずの仕掛けられたdwmapi.dllがカレントディレクトリに存在すれば、そこをエントリーポイントとして悪質コードを読み込ませることが可能になるのだという。
XPでFirefoxを読み込む際には、正しくライブラリがロードされるように修正されたようだが、あくまでFirefoxだけが対策されたに過ぎない。ネットを通じてということからは、アプリとしてもブラウザやメーラーの修正は重大だと思えるが、他の個々のアプリの修正やバージョンアップは大変である。
結局、XPはSP3であっても使わない方が無難ということになりかねない。今もこのブログをXP/SP3のネットブック環境で書いているのだが。