アカウント名:
パスワード:
タレコミより
Firefox 3.0.7における2件の深刻なセキュリティ問題が修正
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳
Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は・・・脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。実は Secunia Advisory と同じ考え方でして、今回修正された
masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:3, すばらしい洞察)
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳
Re: (スコア:1, フレームのもと)
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
実は Secunia Advisory と同じ考え方でして、今回修正された
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2)
masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。
他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。