パスワードを忘れた? アカウント作成
3082 story

最新のOperaに勝手にファイルをアップロードする穴 43

ストーリー by Oliver
過激歌劇 部門より

jbeef曰く、"5月27日付でBUGTRAQに投稿された記事によると、Operaの一部バージョン(6.01~6.02)に、既知のパス名のローカルファイルが警告なしにアップロードされてしまうセキュリティホールがあるとのこと。「アップロード」とは、HTMLに<input type="file">を書くことで実現される機能のこと。ここに欠陥があった。
通常は、 ユーザの意志によるファイル選択を必須とすることでセキュリティが保たれている。IEなどの他のブラウザでは、<input type="file" value="/etc/passwd">というようにVALUE属性で初期値をセットすることは禁止されている。それに対しOperaでは、セットできるのが仕様で、送信時にファイル名を列挙してユーザに確認を求めるようになっている。ところが、GreyMagic Softwareの発見 によると、セットするパス名の最後に「
」(改行文字)を付け加えると、Operaは「ファイル名はセットされていない」と誤解して確認なしに送信してしまうのだという。
この問題は6.0以前には存在しないとのこと。発見者は、5月15日にOperaに連絡したところ、16日に修正したとの連絡を受けたそうだ。そして27日に、この問題が修正された6.03がリリースされたとのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なぜ告知しないの? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2002年05月28日 15時05分 (#98913)

    BAGTRAQを見るかぎり,かなり危険なセキュリティホールに思えるんだけど,なんでオペラソフトウェアはユーザに告知しようとしないの?

    迅速にバグを告知してくれない会社の開発するブラウザ.それのどこに信頼性があるというのだろう.

    • Re:なぜ告知しないの? (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2002年05月28日 18時28分 (#99017)
      せっかく備わっているのだから
      広告スペースを有効に使って欲しい。
      親コメント
    • 確かに後から「Ver.アップで直しています」と言うのが多いですね。
      もしかしたらですが、PC版だけでなく組込製品向けに出している物でも
      共通したバグが出ているのかもしれません。
      それで、バグの内容を公開してしまうことに支障があるとか?
      --
      AMIGA4000T(60/50)使い
      親コメント
      • Operaの組込み版ってもう何かしらに使われたりするんですか?
        だとすると確かに、何も考えずに公開するのは支障がありますね。

        # でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな
        • by inu (4662) on 2002年05月28日 18時11分 (#99009) ホームページ 日記
          Linux Zaurusに採用 [opera.com]されてるそうです。

          まあそうでなくても、QNXなりSymbian OSなりに移植されてるそうですから、会社によってはOperaの名前を表に出さずに使っていそうな気はします。

          ># でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな

          いつの時点をもって「過渡的でない」とするのかが難しいでしょう。
          そうでなければ、いつまでたっても組み込みブラウザがリリースできません。
          親コメント
      • どのみちばれるんだから 自分で発表した方が得策だと思うんですがね
    • もっともですね。
      こんな感じならIEのほうが全然マシとさえ思えてしまいます。

      まあ、IE/MSも叩かれてマシになったというのもありますが…。
      だからちゃんと叩かないとダメなんでしょうかね。
      • by mass (8786) on 2002年05月28日 20時42分 (#99076)
        > まあ、IE/MSも叩かれてマシになったというのもありますが…。
        > だからちゃんと叩かないとダメなんでしょうかね。

        Opera は「早くて安全なブラウザ」が売り文句だった訳ですし、
        なかなか大きく書きづらいのでしょうね。
        体面を気にしていると、もっと大きなものを失うということに
        気づいていないわけでもないとは思うのですが……。

        自分はずっとOperaを使っていますが、
        設計思想も基本的には安全側に倒れていますし、
        #今回のはアレでしたけど(苦笑)
        バグフィックスの対応も早いので、
        個人的にはとても気に入っています。
        レジストリにはほとんど設定を書き出さない、
        市井の自作ソフトのような作りも扱いやすいですし。

        あとはセキュリティホールに対する告知さえ
        しっかりしてくれればいいんですが……。

        開発陣と経営陣の思想の差とかあるんでしょうかねぇ・・・。
        親コメント
    • いまだに6.01しか提供されてない言語もあるんだけど。
      英語版だけfixしたって、ねえ。昔のNetscapeを彷彿とさせるなあ。
      • アップデート (スコア:2, 参考になる)

        by hottad (7130) on 2002年05月28日 19時52分 (#99053) 日記
        いまだに6.01しか提供されてない言語もあるんだけど。
        英語版だけfixしたって、ねえ。
        6.01日本語版にそのまま6.03英語版を上書きインストールしたら、メニュー等も日本語でそのまま使えましたよ。(あまり時間が経ってないのでもしかしたら、今後なにか問題でるかもしれませんが...)

        ただ、インストール後、初回起動時に「言語ファイルのアップデート」という画面が表示され、「言語ファイルのアップデートが必要です。」と言われましたが、怖いので...

         ○新しい言語ファイルをダウンロードする
         ○英語でOperaを再起動する
         ●既存の言語ファイルを使用する

        「既存の言語ファイル」のままにしておいてます。

        6.02 の日本語言語ファイルって、まだ存在していないので、6.01 のをそのまま使う事に... [g-7.ne.jp]」と言う話もあるので、それでいいのかもしれません。
        親コメント
        • Re:アップデート (スコア:3, 参考になる)

          by mass (8786) on 2002年05月28日 20時09分 (#99061)
          Opera は上書きインストール耐性があるので、
          新しいバージョンを上書きインストールしてかまいません。
          起動したときにでる「言語ファイルのアップデート」では
          「既存の言語ファイルを使用する」で大丈夫です。

          言語設定をはじめとして、各種設定はちゃんと引き継がれます。
          ただし、search.ini (検索フォームの設定ファイル)だけは
          英語版で上書きされてしまいますので、
          必要な方はバックアップをとっておいてください。
          親コメント
        • by Anonymous Coward
          ユーザーサイト(http://www.moonstone.jp/)内に 日本語版から日本語メニュー/ヘルプのまま、最新版へバージョンアップする方法 と言うのが図解してありますよ。 http://www.moonstone.jp/en2ja.htm
  • なんつーか (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2002年05月28日 15時09分 (#98914)
    お粗末なバグが多い気がするのは俺だけか?
    「IEより安全」と言ってた人は何を根拠に「安全」としていたのだろうか?
    古臭いというか古典的というか、よそのソフトで過去のものとなってるような穴もちらほら見えているっていうのは、単にいままで誰も積極的に調べてくれなかったから穴が発覚してなかった、って事だろうか?

    俺はヘタレだからMozillaにしとくよ。
    • by gy0 (3393) on 2002年05月28日 15時54分 (#98949) 日記
      >俺はヘタレだからMozillaにしとくよ。
      Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。
      僕自身はプログラミングが出来ないので断言はできないですが。

      セキュリティーホールの問題が即修正される、という点が大切だと思う。
      凡ミスは誰でもやらかすし、集団で作業していると、個人では「ウソッ??」と思うようなとんでもない事が起こっているということが有ると思うんで。

      #あとは、現時点ではシェアが少ないから
      #わざわざ狙う人が居ないので安全・・・というのも有るねぇ。
      #説得力が有るような無いような(苦笑)。
      #Mozillaはともかく、日本の現状ではOperaはNetscapeよりもシェアが少ないようだし。

      以前/.jpでトピックになったN6/Mozillaのセキュリティホールはこの二つ。

      Netscape/MozillaにCookie漏洩のセキュリティホール [srad.jp]
      Netscape/Mozillaにローカルファイル読みとりの脆弱性 [srad.jp]

      #後者では僕の極めて醜いコメントの数々が有るんで少々恥ずかしいのですが・・・ね。
      --
      gy0
      親コメント
      • >>俺はヘタレだからMozillaにしとくよ。
        >Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。

        あー、消去法でMozillaって事ね。
        Mozillaだと、どうしても気になるならナイトリ落とせばいいし。
        NSだと、IEと違ってセキュリティfixでバージョン番号上げるから解りやすいし。
    • Re:なんつーか (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2002年05月28日 16時17分 (#98960)
      ActiveXが動かない分、多少安全な可能性がある。
      せいぜいそんなところ。
      親コメント
      • by Anonymous Coward
        JavaScriptが動かない分、もうちょっと安全そうなw3mはどう?
        • by Anonymous Coward
           最強の「安全」とはネットワークに
          接続しないことでしょう。
           w3mもシェアが少ないので安全そうですね。
          • Re:なんつーか (スコア:2, 参考になる)

            by visha (779) on 2002年05月28日 19時04分 (#99032) 日記
            w3mもシェアが少ないので安全そうですね。

            こんなの [securityfocus.com]もあったんで盲信すると痛い目に遭うかも。何であれ、無条件に安全な実装なんてあり得ないですよ。結局、セキュリティなんて運用がともなって初めて成立するものなんだから。

            親コメント
            • by Anonymous Coward
              ふーん。GC積んでるので、バッファの扱い等で気を抜いてた可能性がありそう。さすがに自動的な境界検査は難しそうですねー。
    • 安全の基準 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年05月28日 16時50分 (#98977)
      Microsoft という文字列の有無。^_^
      親コメント
      • by Anonymous Coward
        operaとあんたが言う[安全]が全く信用できない、という事がよく分かったよ。
    • by nisi (6390) on 2002年05月29日 9時11分 (#99273) 日記
      個人的にはoperaをよく使っていますが、一番の理由は
      使いやすさですね。

      「IEより安全」とは思ってませんが、
      「IEが安全」とも「Mozillaが安全」とも思ってません
      ので・・・もちろん「operaが安全」とも思ってません

      安全かどうかはユーザーの使い方次第でしょ
      --
      taka4
      親コメント
      • by Anonymous Coward
        ごもっとも。
        セキュリティソフトとか使えばいいわけですし。
        私もOperaは使いやすいから使っているだけで、安全か否かで使うことを決めたわけではありません。
        IE6も使っていますが、異常なほどのバグの多さ
        • by nisi (6390) on 2002年05月29日 13時51分 (#99372) 日記
          とりあえず突然落ちるのは何とかしてほしいですが(^^;

          #でも、再度立ち上げたら直前の状態に戻ってくれるのはいい。
          --
          taka4
          親コメント
          • IEが死ぬのとOperaが死ぬのと、どっちかが際立って多いという印象は無いのだけど、IEは死ぬときWindowsごと(9Xだと特に)落としてくれる場合が多いのに対して、Operaは自分だけ死んで終わるという感じかな。
            IEやら何やらのMSのアプリで何がイヤって、周りに迷惑をかけて死ぬ場合が多い事ですね。
            親コメント
        • by Anonymous Coward
          > セキュリティソフトとか使えばいいわけですし。

          特別なポートを使って通信するトロイとかスパイウェアなら
          そのポートをパーソナルなファイアウィールでふさぐとか
          考えられますけど、今回の Opera の問題はごく普通の
          HTML for
  • LFですか.
    まさかCR(
)でも起きるなんて事は無いよね.
  • この頃になってあっちこっちでセキュリティーウォッチがなされる程度には使われ始めたかな?

    ま、やっとこさっとこ眼中外から評価されるレベルになったって事で。
    これからが大変だぁね。頑張って欲しいもんだ。

  • by naka64 (4590) on 2002年05月31日 22時10分 (#100376) 日記
    届いた [opera.com]そうな。変更履歴 [opera.com]。
    • by yatobi (7117) on 2002年06月02日 23時13分 (#101418) 日記
      5/29に日本語版でないのー?ってメールしたんですが音沙汰無しです…
      と思ったら5/30にリリースされてたんですが、それでもアナウンス無し…
      ちゃんとお金払って使ってるのに、日本の販売元はやる気あるんだろうか?
      --
      # 爆言のち漏電中… :D
      親コメント
      • by naka64 (4590) on 2002年06月03日 21時03分 (#101890) 日記
        ん?僕のところには
        Date: Fri, 31 May 2002 15:31:57 +0900
        Message-Id: <200205310631.g4V6Vvl11974@lnx.transware.co.jp>
        subject: [Opera日本語版 News Magazine]Opera6.03 for Windows日本語版リリースのご案内
        で届いてたが…。
        ライセンス登録変更 [transware.co.jp]で自分のアカウントの状態確認した方がいいかも。

        #報告した人間には別送するのが常識、ではあるが。
        #それを問うているのであれば、ごめんなさい。
        親コメント
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...