アカウント名:
パスワード:
タレコミより
Firefox 3.0.7における2件の深刻なセキュリティ問題が修正
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳
Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は・・・脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。実は Secunia Advisory と同じ考え方でして、今回修正された
じゅう‐だい〔ヂユウ‐〕【重大】 [名・形動] 事柄が普通でなく、大変な結果や影響をもたらすような状態であること。また、そのさま。重要。「事の―を感じる」「―な局面」「―発表」軽々しく扱えない、大切な事柄であること。また、そのさま。「―な役割」重く大きいさま。しん‐こく【深刻】 [名・形動] 事態が容易ならないところまできていること。また、そのさま。「住宅問題が―になる」容易ならない事態と受けとめて、深く思いわずらうこと。また、そのさま。「―に考え込む」「―な表情」考え・表現などが深いところにまで達していて重々しいこと。また、そのさま。無慈悲で厳しいこと。むごいこと。また、そのさま。過酷。
じゅう‐だい〔ヂユウ‐〕【重大】 [名・形動]
しん‐こく【深刻】 [名・形動]
まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。
3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6
#私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:3, すばらしい洞察)
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳
Re: (スコア:1, フレームのもと)
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
実は Secunia Advisory と同じ考え方でして、今回修正された
モデレータは基本役立たずなの気にしてないよ
大辞泉より (スコア:0)
まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。
Re:大辞泉より (スコア:0)
3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・
OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。
#私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。