パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、Microsoft の .NET アドオンを一時強制無効化」記事へのコメント

  • by Anonymous Coward on 2009年10月20日 13時44分 (#1656935)

    Windows Presentation Foundation に関しては深刻な脆弱性があるとして継続してブロックされている。

    これは正確ではありません。MS09-054が当たっていれば問題の脆弱性は修正されています。しかしMS09-054はWindows Presentation Foundationプラグインのバージョンを更新しませんでした。なぜなら、脆弱性があったのはプラグインのバイナリではなく、そこから呼び出される.NET Frameworkのランタイムのほうだからです。

    このためFirefoxのプラグインAPIからは脆弱性が修正済みかどうか判別できないので、仕方なくブロックしているというのが現状です。ソフトブロック(ユーザーが有効化可能なブロック)に変更するとか、システムライブラリのバージョンをFirefoxから検出できるようにするとかの対応が現在検討されています。

    日本語では asahi.com の記事がこの件を詳しく報じている。

    asahi.comと毎日jpのIT関連ニュースはCNETの記事 [cnet.com]を流してるだけなので、新聞社のほうにリンクする意味はありません。CNETのオリジナルには存在している外部リンクが削られてたりしますし。

    • 追記 (スコア:1, 参考になる)

      by Anonymous Coward on 2009年10月20日 15時24分 (#1657005)

      > ソフトブロック(ユーザーが有効化可能なブロック)に変更する
      これはすでに実施されました [off.net]。またMS09-054の適用率が十分な値に達した時点で、ブロックそのものを解除する予定だそうです。

      親コメント
    • by Anonymous Coward

      フレームのもと、な気もするのですが。
      Windows Presentation Foundationプラグイン には、脆弱性があることがわかっているランタイムライブラリを呼び出してしまう脆弱性があるわけですね。
      ランタイムのバージョン確認して、まずいバージョンだったら警告を出すようにしとけばよかったのに。

      • by Anonymous Coward

        > ランタイムのバージョン確認して、まずいバージョンだったら警告を出すようにしとけばよかったのに。
        MS09-054が当たるまでは、当然その時点で脆弱であることが知られていたバージョンしか「まずいバージョン」とは判別できませんから、それで何かが防げたとは思えないのですが…。
        ちなみに「まずいバージョン」を判別する機構はSide-by-Sideアセンブリに丸投げですがすでに存在します。

最初のバージョンは常に打ち捨てられる。

処理中...