アカウント名:
パスワード:
タレコミより
Firefox 3.0.7における2件の深刻なセキュリティ問題が修正
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
いいえ、非常に深刻です。IEでも発見されている脆弱性だということは、Firefoxの高い安全性の根拠のひとつである「IEと比べ、シェアが低いため攻撃の対象になりにくい」をも脅かす非常に恐ろしいセキュリティホールです。
>Firefoxの高い安全性の根拠のひとつである>「IEと比べ、シェアが低いため攻撃の対象になりにくい」Firefox 1.0 の時はそんな話も聞いたような気がしますが、少なくとも今のページ、次世代ブラウザ Firefox - セキュリティ [mozilla.jp]にはそんな文言はありませんよ。
>脅かす非常に恐ろしいセキュリティホールです。この手のセキュリティホールなんぞ過去のソフトウェア製品にはいくつもあったわけですが、今回のセキュリティホールを悪用したどんな恐ろしい実例が知られていますか。教えていただきたい。
「穴が開いてたこともあったけど今まで悪用されたことはなかったよ、えっへん。」と言ってるようにしか見えない。
根拠のある反論をお願いします。
#1540503 [srad.jp]には目を通した上でコメントを書いているのかな?当事者が深刻と言い切ってる時点で既に==終了==なんだが、いつまで悪あがきするつもりなんかね?
ユーザーが保護されるにはリリースすれば終わりではありませんよ?展開・導入までのタイムラグがどうしても存在します。
で、リリース前にPoCのコードが公開された状況ってのはちょいとマズい状況かと。MSはめったにやらないですが、定例外のMicrosoftUpdate相当じゃないですかね。
たまたまやられなかっただけ、運がよかったってレベルの話だよね。そんなんで得意気になられてもねえ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:2, 興味深い)
いいえ、非常に深刻です。
IEでも発見されている脆弱性だということは、Firefoxの高い安全性の根拠のひとつである
「IEと比べ、シェアが低いため攻撃の対象になりにくい」
をも脅かす非常に恐ろしいセキュリティホールです。
1を聞いて0を知れ!
いつの時代の根拠ですか? (スコア:1, フレームのもと)
>Firefoxの高い安全性の根拠のひとつである
>「IEと比べ、シェアが低いため攻撃の対象になりにくい」
Firefox 1.0 の時はそんな話も聞いたような気がしますが、少なくとも今のページ、次世代ブラウザ Firefox - セキュリティ [mozilla.jp]
にはそんな文言はありませんよ。
>脅かす非常に恐ろしいセキュリティホールです。
この手のセキュリティホールなんぞ過去のソフトウェア製品にはいくつもあったわけですが、今回のセキュリティホールを
悪用したどんな恐ろしい実例が知られていますか。教えていただきたい。
モデレータは基本役立たずなの気にしてないよ
意訳すると (スコア:0)
「穴が開いてたこともあったけど今まで悪用されたことはなかったよ、えっへん。」と言ってるようにしか見えない。
意訳なんか聞いてませんよ (スコア:2)
根拠のある反論をお願いします。
モデレータは基本役立たずなの気にしてないよ
脊髄反射レスカコワルイ (スコア:0)
#1540503 [srad.jp]には目を通した上でコメントを書いているのかな?
当事者が深刻と言い切ってる時点で既に==終了==なんだが、いつまで悪あがきするつもりなんかね?
Re: (スコア:0)
ユーザーが保護されるにはリリースすれば終わりではありませんよ?
展開・導入までのタイムラグがどうしても存在します。
で、リリース前にPoCのコードが公開された状況ってのはちょいとマズい状況かと。
MSはめったにやらないですが、定例外のMicrosoftUpdate相当じゃないですかね。
Re: (スコア:0)
たまたまやられなかっただけ、運がよかったってレベルの話だよね。そんなんで得意気になられてもねえ…