Firefox3.6.12リリース、「重大な脆弱性」を修正 30
ストーリー by hylom
すみやかな対処を 部門より
すみやかな対処を 部門より
あるAnonymous Coward 曰く、
10月27日、Firefox 3.6.12がリリースされた。これにより26日発表されたノーベル平和賞のWebサイトなどに仕掛けられたFirefox 3.5および3.6に対する0-dayアタック(日本語訳)で攻撃された重大なセキュリティ問題が修正される。既に自動アップデートによる配布も始まっており、Firefox 3.6ユーザはすみやかにバージョンアップすることが推奨される。
なお、この問題に対する修正済みバージョンとして、Firefox 3.5に対しては3.5.15が、Thunderbirdに対しては3.1.6および3.0.10が、SeaMonkey に対しては2.0.10がそれぞれリリース (セキュリティアドバイザリ) されている。Firefox 3.0およびThunderbird 2は既にサポートが切れている(Firefox 3 サポート終了のお知らせ、Thunderbird 2 サポート終了のお知らせ)ため、使うべきでない。
参考までに (スコア:1)
件の0-dayはタレコミのリンクからも辿れますけど、張っておきます。
Bug 607222 – Interleaving document.write and appendChild can lead to duplicate text frames and overrunning of text run buffers [mozilla.org]
実証コードもあるので、アップデートする前に試してみるのも一興!?
ソフトウェアの更新を確認! (スコア:1)
更新情報 XML ファイルが整形式になっていません (200)
しょうがないのでダウンロードしに行くと、
「そんな面倒なことしなくても"ソフトウェアの更新を確認"でばっちりだよ!」
みたいなメッセージが。
Re: (スコア:0)
何回かやり直してればうまくいく。
Re: (スコア:0)
うまくいかんので窓の杜から落としたず
おいおい (スコア:0)
これをスラドがスルーしてるんだから、スラドはもう終わってるよなー。
Re:おいおい (スコア:2)
Re:おいおい (スコア:1, おもしろおかしい)
いたくせに、いざ、最新バージョンを使って閲覧しただけで感染するという
ゼロデイ攻撃が成立したニュースがあったにもかかわらず、しら~と
スルーしようとしていたので、こんな卑怯な真似は放置できないとして
タレコミを書いているところでした。(本当に)
そうしてる間に、しれっと脆弱性を修正したバージョンがリリースされたとだけ
書かれた小さなタレコミがあり、速攻で採用されてしまった。
まじめな話、IE8とFirefoxのどっちがセキュリティ的に安全なのかって言ったら、
IE8のほうが安全だということがわかったって事件だよね。
Re:おいおい (スコア:1, 興味深い)
参考までにIE8の今月分
CVE-2010-3243
HTML のサニタイズの脆弱性
IE 8 の欠陥
ユーザーのセキュリティ コンテキストで Web サイトに対しスクリプトが実行される可能性があります
CVE-2010-3324
HTML のサニタイズの脆弱性
IE 8 の欠陥
ユーザーのセキュリティ コンテキストで Web サイトに対しスクリプトが実行される可能性があります
CVE-2010-3325
CSS 特殊文字の情報漏えいの脆弱性
IE 6 / 7 / 8 の欠陥
Internet Explorer が CSS の特殊文字を正しく処理しないことが原因で、機密データが漏えいする可能性があります
CVE-2010-3327
アンカー要素の情報漏えいの脆弱性
IE 6 / 7 / 8 の欠陥
削除済みの情報が HTML コンテンツに残る可能性があります
CVE-2010-3328
初期化されていないメモリ破損の脆弱性
IE 6 / 7 / 8 の欠陥
攻略 Web ページにより任意のコードが実行される
CVE-2010-3329
初期化されていないメモリ破損の脆弱性
IE 7 / 8 の欠陥
HtmlDlgHelper Class COM オブジェクトに欠陥があり、攻略 Web ページにより任意のコードが実行される
CVE-2010-3330
クロス ドメインの情報漏えいの脆弱性
IE 6 / 7 / 8 の欠陥
Internet Explorer のセキュリティ ゾーンまたは別のドメインからコンテンツを閲覧する可能性があります
CVE-2010-3331
初期化されていないメモリ破損の脆弱性
IE 6 / 7 / 8 の欠陥
攻略 Word ドキュメントを開き、閉じると任意のコードが実行される
数字から見る各ブラウザの安全性比較 (スコア:2, 興味深い)
なんかすごい姑息な比較の仕方だな。
そういうところがFirefox支持者のいやらしいところ。
Secuniaがまとめているアプリケーション別の脆弱性数を挙げると、
2010年は、
Firefox3.5/3.6は、 全部で10件、その中でCritical以上9件、最高脆弱性1件。
IE8 全部で9件、Critical以上5件、最高脆弱性1件。
あまり差が無いように見えるけど、Firefoxは危険性が高い脆弱性の比率が多い。
一方、IE8は危険度が低い、あるいは無いと考えられる脆弱性について未修正の
物が残っている。
それぞれの正式版リリースからの脆弱性数累計はと言うと、
Firefox3.5は122件、Critical以上の脆弱性の比率は87%の酷い数字。
Firefox3.6は77件、Critical以上の脆弱性の比率は90%と最悪。
IE8は、66件、Critical以上の脆弱性比率は63%と、けっして低い数字ではない。
ちなみに、Firefox3.6は、今年の1月下旬にリリースされたばかりで、短期間で
IE8の脆弱性数を超えてしまっている。
SecuniaはMSが脆弱性と認めていないものもカウントしており、中立というより
ベンダーには厳しいくらいの判定なので、MSに懇意的な数字をまとめているわけでは
ないということも考えると、
「Firefoxはアプリケーションとして安全とはとても言い難い」
という結論が出せる。
参考までに、他のブラウザについても見てみる。
Safari3は全部で42件、Critical以上の比率80%で、意外と少ないが、
Highly Criticalの脆弱性なのに未修正のまま放置されているので使うべきではない。
Google Chrome 7は全部で1件で、Ciritcal以上100%、未修正100%だけど、
リリースされたばかりだから比較してもしょうがない。
Google Chrome 6は全部で20件で、Critical以上100%、未修正33%なので、
安全とはとても言えない。使ってはいけないレベル。
Google Chrome 5は全部で56件でCritical以上100%、未修正14%なので、
これも安全ではない。
Opera9は、全部で56件、Critical以上64%、未修正は4%で、未修正分に
Critical以上は無いものの、中程度の危険度の未修正脆弱性が1件。
まとめると、IE8とOpera9が危険度が小さいことがわかる。
頭打ち状態のIEやFirefoxを押さえて急激に伸びているChromeは、脆弱性について
批判されることはほとんどない反面、「実は危険性はダントツ」だといえる。
Safariも同様。
これが、数字から判断した場合の各ブラウザの安全性比較。
数字以外にも情勢で変わるが、今回のFirefoxのゼロデイ攻撃を考えると、情勢的にも
Firefoxは安全ではない、危険なブラウザに堂々と仲間入りしたと断言できる。
Re: (スコア:0)
> なんかすごい姑息な比較の仕方だな。
> そういうところがFirefox支持者のいやらしいところ。
ゼロデイ攻撃の発生が報告されてから修正までの平均日数とかの自分に都合の悪い数字は出さないで何言ってるの?
今回もあんたがタレコむ暇もなく修正されたわけでしょ。
Chromeは最新版以外セキュリティ修正も出さないのにわざわざChrome 5やChrome 6を持ち出してるところも恣意的だな。そりゃ未修正の脆弱性が放置されてるに決まってるだろ。IE使用者全体のうちIE6/7が占める割合とChrome使用者全体のうちChrome 5/6が占める割合も無視してるし。
Re: (スコア:0)
Re: (スコア:0)
世間、もといν速ではこれをOpera最強伝説と言っております。
Re: (スコア:0)
悪用しても大したことができない脆弱性なんかを考えなければ、
どっこいどっこいじゃないんですかね。
IEにしろFirefoxにしろ、「アップデートすべきもの」と認識してる
ユーザはさほど問題ないだろうし、認識してないユーザの割合は
さほど変わらないような。
Re: (スコア:0)
まじめな話とか言っといて内容がジョークって…。
Re:おいおい (スコア:1, すばらしい洞察)
どちらかというと、日記でチェックかIT系のニュースで大々的に扱われているので知らないってことはないだろうという判断があったのでは?
今回取り上げられたのはスラドチェックに勤しんでアップデートを疎かにする人々にアップデートを促すためなんじゃないかなー(?)
#AC
Re: (スコア:0)
日記の方には書いてる人がいたと思うけど。
「あんたが見てなかっただけじゃね」と。
それにそもそもスラドはニュースサイトではないでしょ?
Re:おいおい (スコア:1, すばらしい洞察)
ニュースサイトではないけれど、アレゲ率で他の記事と比較したときにこれを載せなかったのはサイトの質が疑われます。
# 無くてはならないものではないが、そこをスルーするのはもぐりじゃね?
Re:おいおい (スコア:2, おもしろおかしい)
普段はIE叩いてるけど、本当はIEしか使ってないんだよ。
オカルト雑誌の編集者がオカルト信じてないの一緒で。
Re: (スコア:0)
おいおい (C) 永遠の17才 (スコア:0)
例の (スコア:0)
12歳が発見した脆弱性 [mozillalinks.org]は3.6.13に持ち越しか。
Re:例の (スコア:2, 興味深い)
Re: (スコア:0)
[モデレーター待ち]
Re: (スコア:0)
Re:例の (スコア:1)
もっと割のいい商売だったのでは。
犯人像 (スコア:0)
Firefoxユーザはヨーロッパで多く、被害者は当然ノーベル平和賞の情報を見る人。
飛ばされる先のサーバは台湾のサーバ。
今年のノーベル平和賞受賞者は中国人の反体制派作家で投獄中。
犯人の目的や素性、これから想像できるでしょう?
Mozillaからはした金を貰うまでもなく、いまや米国に次ぐ世界2位の軍事費を
かけることができるくらい大金持ちですよ、犯人は。
SeaMonkey はまだリリースされてないよ (スコア:0)
>SeaMonkey に対しては2.0.10がそれぞれリリース
10月28日18:38現在SeaMonkey [mozilla.org]はまだリリースされていないんだが、どこにあるんだ?
Re:SeaMonkey はまだリリースされてないよ (スコア:1)
現地時間的には 10/28 01:02 [mozilla.org] に ja が置かれていますね。
一応確認してみましたが、ja の Win32 インストーラーイメージでも Last-Modified: Wed, 27 Oct 2010 23:02:22 GMT のようですから、日本時間との時差は 7 時間で考えても 10/28 18:38 JST にはこのファイルは存在していたはずですね。公開されていたかは別として。
2.0.10 のディレクトリー [mozilla.org]は上位から見ると 28-Oct-2010 04:13 となっているため 10/28 11:13 (JST) には下位を含めて作成されていそうです。公開されていたかは別として。
repo 上は "公開" されたけどバイナリーの公開が追い付いてなかった、とかいう話もありそうですね。
Re: (スコア:0)
IceCat(旧IceWeasel)は 今日(日付変わったので昨日28日木曜日)に
なってやっと3.6.11がアップデート可能になりました。
今回のセキュリティフィックスはIceCatはまだのようです。
Middle Click が反応しにくい (スコア:0)
3.6.12 にしたら「リンクを新しいタブで開く」に割り当てられているマウスの Middle Click が反応しにくい症状が再発してしまいました。