この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
Highly Critical (4 of 5) Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure.
Such vulnerabilities can exist in services like FTP, HTTP, and SMTP or in client systems like email programs or browsers.
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:3, すばらしい洞察)
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳が違いますが、些細な差でしょう。
なお、 Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は
ということであって、脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。
Re:たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
実は Secunia Advisory と同じ考え方でして、今回修正されたMozilla Firefox Two Vulnerabilities [secunia.com]について、Secunia は Highly critical(Critical Level 4 of 5) [secunia.com] としています。
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2)
masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。
他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。
Re: (スコア:0)
Critical Level 4 of 5から上は全部深刻と呼んでいいんじゃね?
ゼロデイアタックが恒常化する前から深刻という表現は存在してたし。
やっぱり噛み付く理由がわからんなー。
Re: (スコア:0)
だから、攻撃が行われているかいないかではないのだと・・・。
Extremely Critical =非常に深刻
・・・ですけど何か?それをわからない方がどうか、と。
大辞泉より (スコア:0)
まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。
Re: (スコア:0)
3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・
OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。
#私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。