この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
Highly Critical (4 of 5) Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure.
Such vulnerabilities can exist in services like FTP, HTTP, and SMTP or in client systems like email programs or browsers.
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]がmilw0rm.orgに掲載されたのが3月25日、Bugzilla(Bug 485217)をみると、同日にMacやLinux環境でクラッシュ報告が挙がっていますね。上で説明されているとおりの手順を経て、比較的短期間に修正パッチがリリースされたと。
もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [srad.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。
外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの(こっちはパッチが出ているかどうかは知らないけどね)。まあいずれにせよこれらの脆弱性を利用した攻撃がまだ知られていないところをみれば、このストーリーを読んだついでにアップデートするのが最善だとしても、Firefox 3.0.7に『深刻』さを強調する評価を下すのはどうかと思うな。
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:3, すばらしい洞察)
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳が違いますが、些細な差でしょう。
なお、 Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は
ということであって、脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。
Re:たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
実は Secunia Advisory と同じ考え方でして、今回修正されたMozilla Firefox Two Vulnerabilities [secunia.com]について、Secunia は Highly critical(Critical Level 4 of 5) [secunia.com] としています。
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2)
masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。
他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。
Re: (スコア:0)
Critical Level 4 of 5から上は全部深刻と呼んでいいんじゃね?
ゼロデイアタックが恒常化する前から深刻という表現は存在してたし。
やっぱり噛み付く理由がわからんなー。
Re: (スコア:0)
だから、攻撃が行われているかいないかではないのだと・・・。
Extremely Critical =非常に深刻
・・・ですけど何か?それをわからない方がどうか、と。
大辞泉より (スコア:0)
まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。
Re: (スコア:0)
3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・
OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。
#私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。
Re:たしかに重大な脆弱性ですが (スコア:2, 興味深い)
いいえ、非常に深刻です。
IEでも発見されている脆弱性だということは、Firefoxの高い安全性の根拠のひとつである
「IEと比べ、シェアが低いため攻撃の対象になりにくい」
をも脅かす非常に恐ろしいセキュリティホールです。
1を聞いて0を知れ!
いつの時代の根拠ですか? (スコア:1, フレームのもと)
>Firefoxの高い安全性の根拠のひとつである
>「IEと比べ、シェアが低いため攻撃の対象になりにくい」
Firefox 1.0 の時はそんな話も聞いたような気がしますが、少なくとも今のページ、次世代ブラウザ Firefox - セキュリティ [mozilla.jp]
にはそんな文言はありませんよ。
>脅かす非常に恐ろしいセキュリティホールです。
この手のセキュリティホールなんぞ過去のソフトウェア製品にはいくつもあったわけですが、今回のセキュリティホールを
悪用したどんな恐ろしい実例が知られていますか。教えていただきたい。
モデレータは基本役立たずなの気にしてないよ
意訳すると (スコア:0)
「穴が開いてたこともあったけど今まで悪用されたことはなかったよ、えっへん。」と言ってるようにしか見えない。
意訳なんか聞いてませんよ (スコア:2)
根拠のある反論をお願いします。
モデレータは基本役立たずなの気にしてないよ
脊髄反射レスカコワルイ (スコア:0)
#1540503 [srad.jp]には目を通した上でコメントを書いているのかな?
当事者が深刻と言い切ってる時点で既に==終了==なんだが、いつまで悪あがきするつもりなんかね?
Re: (スコア:0)
ユーザーが保護されるにはリリースすれば終わりではありませんよ?
展開・導入までのタイムラグがどうしても存在します。
で、リリース前にPoCのコードが公開された状況ってのはちょいとマズい状況かと。
MSはめったにやらないですが、定例外のMicrosoftUpdate相当じゃないですかね。
Re: (スコア:0)
たまたまやられなかっただけ、運がよかったってレベルの話だよね。そんなんで得意気になられてもねえ…
Re:たしかに重大な脆弱性ですが (スコア:1)
3.07でマスターイメージを作成してしまいました。
気付かないふりが大人の対応ということにします。
Re: (スコア:0)
そうですね。
「他も同様のものがあるのにFirefoxだけなぜ強調する」みたいな発言こそ危険と思うべきでしょう。
Firefoxがダントツのシェアになっていない現状なら、独自の脆弱性の危険性を強調されても「なぜ」と言えるけど、他でも通用する問題なら悠長に構えるべきではない。
Re:たしかに重大な脆弱性ですが (スコア:2, 参考になる)
タレコミ文の「深刻」は、Mozillaが「critical」(日本語表記では「深刻/最高」)と表記しているものですね。また、ある脆弱性に対するパッチ適用の重大性は、そのパッチ作成に費やした手間や期間によって、あるいは同種ソフトウェアの動向によって左右されるものではないでしょう。これを強調したところで、特に問題はないと思います。
ところで、今回のアドバイザリについてmasakunさんは誤った理解をしているように思います。
これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。
同アドバイザリには「XUL tree 要素の _moveToEdgeShift メソッドが...」とあります。「SafariやIE8と時を同じくしてベンダーに伝えられた」だけであって、masakunさんの書かれたように「SafariやIE8でも発見されているもの」ではないでしょう。
Re:たしかに重大な脆弱性ですが (スコア:2)
ちょっと書き方が悪かったですね。
今回報告された2件の脆弱性はどちらも外部の研究者によって指摘されたものですが、ご指摘通り「XUL ツリー要素を通じた任意のコード実行」の脆弱性は Safari や IE8 で見つかったものと同一ではありません。Safari や IE8 にもそういう類のものがあるでしょという程度の意味でしかありません。
で、前半部分については、これは問題をどう捉えるかだけの差だと思いますね。
Guido Landi 氏の PoC 公開が 3/25 で、それまでの半年間放ったらかしだったではないかという見方もできますが、逆にその半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実でして。Firefox を擁護するような内容だけに、サブジェクトに「たしかに重大な脆弱性ですが」と書いたんですけど、あんまり意味がなかったみたいですね(苦笑)
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2, すばらしい洞察)
うーん、「その半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実」ですか。言えるのはせいぜい「攻撃は確認されていない」ぐらいだと思います。
「攻撃は確認されていない」を根拠にソフトウェアベンダーが脆弱性の深刻度を決定することは少ないでしょう。いつまで続くか判らない「未確認」、つまりは不確定要素を評価基準に入れるのは合理的ではありません。すでにそのソフトウェアを使っているユーザーの立場としても「未確認」が安心を保証するわけではないので、攻撃成立条件の低さや攻撃の影響の大きさだけを基準に評価してくれたほうが判断しやすい。
少なくともMozillaはやっていない。Microsoftにしても「この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに [microsoft.com]」としています。攻撃未確認だろうと何だろうと、ベンダー自身が最重要と評価したら素直に最重要と捉えればよい、と思います。
で、今回程度の強調をしたところで、攻撃の存在が確認されている場合にはベンダー自身が広報に努めたり報道で特記されたりというのが通例になっていますし、「狼が来たぞ」的な悪影響があるとは思えません。ソフトウェアの安全性・信頼性は一度や二度の事例だけで判断できるものではなく、Firefoxを不当に貶めているとも思えません。
むしろ「(Bug 460090にまったく触れずに)比較的短期間に修正パッチがリリースされた」、「SafariやIE8でも発見されているもの」、「これらの脆弱性を利用した攻撃がまだ知られていない」(#1539907 [srad.jp])といったことを関連付けることに危険を感じます。私は、masakunさんが「深刻じゃない」と言ってるようだから反論しているのではなくて、一緒に論じるのはおかしいと反論しているのです。「他のブラウザにもよくある類の」という意味で書いたとしても、それを絡めて脆弱性の深刻度を語ってはだめでしょう。
そういう問題じゃなくて (スコア:0)
むしろ元のタレコミ文には深刻としか書かれてなくて情報が全く足りてないのが困る。
せめて脆弱性の要約程度は書くべきだ。
Re: (スコア:0)
タレられたのはFirefoxの更新がいちばん早かったからってだけだし。
Re: (スコア:0)
っていうか、春休みに宿題ってあったっけ?
#最近だとあるのかな・・・・
強調してないし (スコア:0)
全然強調されてないし。
むしろ、このタレコミ自体、本来ならば「セキュリティ」で掲載されるべきところ、
「IT」のトピックとして上げられており、強調どころか曖昧にされてる。
それなのに「深刻」を強調されてるなんてクレームを付けるのは、あまりにも
被害妄想としか言えない。
Re: (スコア:0)
これはひどい (スコア:0)
リリースノート [mozilla.jp]を読めばMozillaプロジェクトがこの脆弱性を“深刻”と表現していることはすぐにわかるでしょう。
本来の3.0.8リリースは4月に予定されていました。
そいつを延期して、脆弱性の修正のみに絞って、さらに当初の発表では3月30日から4月1日の間 [itmedia.co.jp]と公表していた予定を数日前倒しにするくらいの、文字通りの緊急リリースを行いました。
Re: (スコア:0)
タレコんだものですけど、毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノートに対して、皮肉を持った意味で深刻の部分を強調しただけなので、とくに意味は無いです。すみません。角達磨なMozillaの開発者め。
Re: (スコア:0)
タレコミ文で皮肉をこめる人って時々いるけど、そういうのは概して意味すら伝わらないような出来の悪い文章になりがちです。まあ今回は知覚過敏な方が若干一名いらっしゃいましたがw
つーか、
>毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノート
リリースノート見ましたけど、どこに問題があるのかさっぱりわかりませんでした。然るべきリソースにリンク貼ってますし、ごく普通の体裁に見えます。機械的な印象を受けるのは慣習化、テンプレ化してるからでしょう。