アカウント名:
パスワード:
タレコミより
Firefox 3.0.7における2件の深刻なセキュリティ問題が修正
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
タレコミ文の「深刻」は、Mozillaが「critical」(日本語表記では「深刻/最高」)と表記しているものですね。また、ある脆弱性に対するパッチ適用の重大性は、そのパッチ作成に費やした手間や期間によって、あるいは同種ソフトウェアの動向によって左右されるものではないでしょう。これを強調したところで、特に問題はないと思います。
ところで、今回のアドバイザリについてmasakunさんは誤った理解をしているように思います。
ちょっと書き方が悪かったですね。
もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [slashdot.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの
もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [slashdot.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。
外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの
今回報告された2件の脆弱性はどちらも外部の研究者によって指摘されたものですが、ご指摘通り「XUL ツリー要素を通じた任意のコード実行」の脆弱性は Safari や IE8 で見つかったものと同一ではありません。Safari や IE8 にもそういう類のものがあるでしょという程度の意味でしかありません。
で、前半部分については、これは問題をどう捉えるかだけの差だと思いますね。
これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。
Guido Landi 氏の PoC 公開が 3/25 で、それまでの半年間放ったらかしだったではないかという見方もできますが、逆にその半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実でして。Firefox を擁護するような内容だけに、サブジェクトに「たしかに重大な脆弱性ですが」と書いたんですけど、あんまり意味がなかったみたいですね(苦笑)
うーん、「その半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実」ですか。言えるのはせいぜい「攻撃は確認されていない」ぐらいだと思います。
「攻撃は確認されていない」を根拠にソフトウェアベンダーが脆弱性の深刻度を決定することは少ないでしょう。いつまで続くか判らない「未確認」、つまりは不確定要素を評価基準に入れるのは合理的ではありません。すでにそのソフトウェアを使っているユーザーの立場としても「未確認」が安心を保証するわけではないので、攻撃成立条件の低さや攻撃の影響の大きさだけを基準に評価してくれたほうが判断しやすい。
少なくともMozillaはやっていない。Microsoftにしても「この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに [microsoft.com]」としています。攻撃未確認だろうと何だろうと、ベンダー自身が最重要と評価したら素直に最重要と捉えればよい、と思います。
で、今回程度の強調をしたところで、攻撃の存在が確認されている場合にはベンダー自身が広報に努めたり報道で特記されたりというのが通例になっていますし、「狼が来たぞ」的な悪影響があるとは思えません。ソフトウェアの安全性・信頼性は一度や二度の事例だけで判断できるものではなく、Firefoxを不当に貶めているとも思えません。
むしろ「(Bug 460090にまったく触れずに)比較的短期間に修正パッチがリリースされた」、「SafariやIE8でも発見されているもの」、「これらの脆弱性を利用した攻撃がまだ知られていない」(#1539907 [srad.jp])といったことを関連付けることに危険を感じます。私は、masakunさんが「深刻じゃない」と言ってるようだから反論しているのではなくて、一緒に論じるのはおかしいと反論しているのです。「他のブラウザにもよくある類の」という意味で書いたとしても、それを絡めて脆弱性の深刻度を語ってはだめでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2, 参考になる)
タレコミ文の「深刻」は、Mozillaが「critical」(日本語表記では「深刻/最高」)と表記しているものですね。また、ある脆弱性に対するパッチ適用の重大性は、そのパッチ作成に費やした手間や期間によって、あるいは同種ソフトウェアの動向によって左右されるものではないでしょう。これを強調したところで、特に問題はないと思います。
ところで、今回のアドバイザリについてmasakunさんは誤った理解をしているように思います。
これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。
同アドバイザリには「XUL tree 要素の _moveToEdgeShift メソッドが...」とあります。「SafariやIE8と時を同じくしてベンダーに伝えられた」だけであって、masakunさんの書かれたように「SafariやIE8でも発見されているもの」ではないでしょう。
Re:たしかに重大な脆弱性ですが (スコア:2)
ちょっと書き方が悪かったですね。
今回報告された2件の脆弱性はどちらも外部の研究者によって指摘されたものですが、ご指摘通り「XUL ツリー要素を通じた任意のコード実行」の脆弱性は Safari や IE8 で見つかったものと同一ではありません。Safari や IE8 にもそういう類のものがあるでしょという程度の意味でしかありません。
で、前半部分については、これは問題をどう捉えるかだけの差だと思いますね。
Guido Landi 氏の PoC 公開が 3/25 で、それまでの半年間放ったらかしだったではないかという見方もできますが、逆にその半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実でして。Firefox を擁護するような内容だけに、サブジェクトに「たしかに重大な脆弱性ですが」と書いたんですけど、あんまり意味がなかったみたいですね(苦笑)
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2, すばらしい洞察)
うーん、「その半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実」ですか。言えるのはせいぜい「攻撃は確認されていない」ぐらいだと思います。
「攻撃は確認されていない」を根拠にソフトウェアベンダーが脆弱性の深刻度を決定することは少ないでしょう。いつまで続くか判らない「未確認」、つまりは不確定要素を評価基準に入れるのは合理的ではありません。すでにそのソフトウェアを使っているユーザーの立場としても「未確認」が安心を保証するわけではないので、攻撃成立条件の低さや攻撃の影響の大きさだけを基準に評価してくれたほうが判断しやすい。
少なくともMozillaはやっていない。Microsoftにしても「この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに [microsoft.com]」としています。攻撃未確認だろうと何だろうと、ベンダー自身が最重要と評価したら素直に最重要と捉えればよい、と思います。
で、今回程度の強調をしたところで、攻撃の存在が確認されている場合にはベンダー自身が広報に努めたり報道で特記されたりというのが通例になっていますし、「狼が来たぞ」的な悪影響があるとは思えません。ソフトウェアの安全性・信頼性は一度や二度の事例だけで判断できるものではなく、Firefoxを不当に貶めているとも思えません。
むしろ「(Bug 460090にまったく触れずに)比較的短期間に修正パッチがリリースされた」、「SafariやIE8でも発見されているもの」、「これらの脆弱性を利用した攻撃がまだ知られていない」(#1539907 [srad.jp])といったことを関連付けることに危険を感じます。私は、masakunさんが「深刻じゃない」と言ってるようだから反論しているのではなくて、一緒に論じるのはおかしいと反論しているのです。「他のブラウザにもよくある類の」という意味で書いたとしても、それを絡めて脆弱性の深刻度を語ってはだめでしょう。