パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Safariに脆弱性が見つかる。Windows版は新バージョンが出ていないためIPAなどが使用停止を勧告」記事へのコメント

  • 本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。

    About the security content of Safari 6.0.1 [apple.com]:

    Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.

    つまり、 Safari 6 で導入された新しい機能のバグ。6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ。周知の通りWindows版の Safari 6 は

    --
    しきい値 1: ふつう匿名は読まない
    匿名補正 -1
    • Re: (スコア:2, 興味深い)

      by Anonymous Coward

      #2257373氏 [srad.jp]の発言通り、貴方の間違いです。
      NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
      (引用したらSlashcodeに怒られたので、影響範囲は各自リンク先をご覧ください)

      勘違いしたモデレータにプラスモデされちゃっていますから、ご自身で訂正をなさった方がよろしいのでは?

      • by crass (35930) on 2012年10月24日 5時55分 (#2257619) 日記

        上の方にいる英語も日本語も不自由なACはスルーするとして、CVEのデータベースでは過去の全てのバージョンが含まれてるからIPAのWindows 版 Safari 使用停止の勧告は正しいとする意見には反論しとく。

        NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。

        JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw 今回の脆弱性についての詳細な記事がないので、今回の脆弱性(CVE-2012-3713)を報告したAaron Sigel氏が見つけ本人のブログで記事 [blogspot.jp]になっている別の脆弱性(CVE-2011-3229)と比較してみる:

        CVE-2011-3229 [nist.gov]

        • v5.0で新しい機能の追加 (Safari Extensions introduced) により脆弱性発生
        • v5.1.1でパッチされる
        • NVDによればv5.1以前全てのバージョンに脆弱性がある
        • 発見者Aaron Sigel氏はv5.0より前には影響しないと明記 [blogspot.jp]

        CVE-2012-3713 [nist.gov]

        • v6.0で新しい機能の追加 (HTML removed from unsafe type list) により脆弱性発生
        • v6.0.1でパッチされる
        • NVDによればv6.0以前全てのバージョンに脆弱性がある

        v5.0以前には無い機能に起因する脆弱性なのだからCVE-2011-3229についてはNDVは明らかに間違っている。脆弱性の説明を読めばCVE-2012-3713はv6.0以降の物と分かるので、参考にならないNVDのデータを指し示してv6.0より前のバージョンしかないWindows 版 Safari にもこの脆弱性が存在するとするのは無理がある。大体、この脆弱性はインターネットからダウンロードしたHTMLファイルの属性にその旨を記録して、開くときにその権限を制限するというセキュリティ機能に関連した物だろ。この機能ってWindows 版 Safari にはないんじゃないか?Windows 版 Safari にダウンロードしたファイルに属性をつける機能があったとしてもOSレベルのセキュリティ機能なんだからマイクロソフトが参照しないので意味が無いな。どう考えてもIPAのWindows 版 Safari 使用停止の勧告は馬鹿丸出しなんだが。

        --
        しきい値 1: ふつう匿名は読まない
        匿名補正 -1
        親コメント
        • by tvei (29799) on 2012年10月24日 13時25分 (#2257879)

          JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw

          6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ

          あなたが参照しているISSの「Platforms Affected」も適当なようですけど。

          CVE-2011-3229 [nist.gov]
          発見者Aaron Sigel氏はv5.0より前には影響しないと明記 [blogspot.jp]

          CVE-2011-3229 [iss.net]

          • Platforms Affected:
             (略)
            Apple Safari 4 Beta
            Apple Safari 4.0
            Apple Safari 4.1
            Apple Safari 4.1.1
            Apple Safari 4.1.2
            Apple Safari 5.0
             (略)
          親コメント
          • by crass (35930) on 2012年10月25日 8時50分 (#2258527) 日記

            あなたが参照しているISSの「Platforms Affected」も適当なようですけど。

            全てのバージョンを含んでないだけ何らかの努力の跡がみられけど確かに間違ってるなw

            どうやらISSは「Platforms Affected」の項目はCVEではなくBIDのデータベースを参照してるようだな。CVE-2011-3229つまりBID-50163 [securityfocus.com]の説明を読むと間違いの原因が推測できる:

            NOTE: This issue was previously covered in BID 50089 (Apple Safari Prior to 5.1.1 Multiple Security Vulnerabilities) but has been given its own record to better document it.

            BID-50089には複数の脆弱性が含まれるからv4.xも影響を受けるとなってる所に、そこから派生させたBID-50163にも流用されてしまったという事なんだろう。

            --
            しきい値 1: ふつう匿名は読まない
            匿名補正 -1
            親コメント
        • by Anonymous Coward
          IPAに報告したMasahiro YAMADA 氏の発言読めよ・・・
        • by Anonymous Coward

          crassが無駄な抵抗を試みたが、論破されてしまったと。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...