三つの致命的欠陥を修正したFirefox 1.0.3とMozilla 1.7.7リリース 119
ストーリー by Oliver
getDinosaur() 部門より
getDinosaur() 部門より
koshian 曰く、 "Firefox 1.0.3とMozilla 1.7.7が出ています。既知の脆弱性のページ によると、
- (中)MFSA 2005-33 Javascript 'lambda' replace exposes memory contents
- (高)MFSA 2005-34 javascript: PLUGINSPAGEコードの実行
- (中)MFSA 2005-35 閲覧阻害javascript: 特権下での問題あるポップアップ使用
- (高)MFSA 2005-36 グローバルスコープを汚染するクロスサイトスクリプティング
- (緊急)MFSA 2005-37 javascriptのfaviconsを経由したコード実行
- (中)MFSA 2005-38 検索プラグインのクロスサイトスクリプティング
- (緊急)MFSA 2005-39 サイドバーから任意のコードが実行可能
- (中)MFSA 2005-40 オブジェクトのインスタンスチェック抜け
- (緊急)MFSA 2005-41 DOMプロパティを上書きして権限上昇が可能
と、緊急レベルの致命的な脆弱性が三つも修正されています(括弧内は重要度)。急いでアップデートしたほうがよいでしょう。"
日本語版はこちらから (スコア:5, 参考になる)
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/win32/ja-JP/Firefox%20Setup%201.0.3.exe
Mac日本語版
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/mac/ja-JPM/Firefox%201.0.3.dmg
Linux日本語版
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/linux-i686/ja-JP/firefox-1.0.3.installer.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/linux-i686/ja-JP/firefox-1.0.3.tar.gz
Re:日本語版はこちらから (スコア:2, 参考になる)
# テストしてもらいたいが為のZIP版廃止 [dyndns.org]です。
Re:Firefoxのソフトウェアアップデート (スコア:1)
それに現時点でアップデートに対応しているのはWindows版だけではないかと思うのですが・・・
# OS/2使いなのでID
Mozilla/5.0 (OS/2; U; Warp 4.5; ja-JP; rv:1.7.6) Gecko/20050323 Firefox/1.0.2
Re:Firefoxのソフトウェアアップデート (スコア:1, 参考になる)
まだ、ツール->オプション->ソフトウェアの更新では出来ないみたいですね。
家の設定がわるいだけ?
#はずかしいのでAC
Re:Firefoxのソフトウェアアップデート (スコア:3, 参考になる)
Re:Firefoxのソフトウェアアップデート (スコア:1)
更新チェックはデフォルト設定では24時間間隔で行われます。英語版では更新され、各国語版ではまだというのは他の人のコメントで判るかと。
「例のバグ」云々については、それがある為に更新チェックではなく新規インストールを望む人が居る為に触れました。それだけで、他意はありません。
bugzilla.mozilla.orgでは確認できません。修正されていませんか。
なお、現時点でも日本語版ではソフトウェアアップデート経由でのインストールは出来ません。何故なら、今から確認を取ってリリース、という段階だからです。合掌。
# 確認してから書けというのはちょっと殺生です。bugがファイルされた時期もありますし、1.0.2の時はこのプロセスを踏んだ記憶もありません。
Bug 290883 - Firefox 1.0.3 update verifications [mozilla.org]
Re:日本語版はこちらから (スコア:1)
とりあえず、我が家のWinXP機にはFirefoxが3つインストールされてることになってましたが(w、アップデートかけたら1.0.3だけになりました。まずはめでたい。
でも、アップデート用のアイコンは出なかったので、Option->Advanceの中の"Check Now"ボタン使いましたけど。
Re:日本語版はこちらから (スコア:1, 参考になる)
試すもなにも、アイコンとやらは出ないし
「今すぐ確認」しても「更新の検索中に問題が発生しました」とかなってどうしようもありません。
(1.0.2にしたときは、これでダウンロードできたのに)
そういう意味で、そのものずばりのURLを書いてくれた元コメントはとっても「参考になる」です。
Re:日本語版はこちらから (スコア:1, 参考になる)
http://n.jpn.ph/mozilla/
1.0.3は (スコア:3, 参考になる)
1.0.2 までは上書きインストールすると、入れてもいない 1.0 のゴミとか入ったからわざわざアンインストールしていたが。
次もこうだと有難い。
Re:1.0.3は (スコア:1)
# 毎回面倒。ま、宣伝活動だから仕方ないでしょうが。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:1.0.3は (スコア:2, 参考になる)
Bug 263595 - Installer option to reset homepage should be false by default. [mozilla.org]
blocking-aviary1.0.3+でしたが間に合いませんでした (というか誰もパッチ書いてない) ね。
Mozilla Japanのセキュリティセンター (スコア:2, すばらしい洞察)
4/21にcontirbが大賑わい (スコア:2)
Solaris版もリリースされていますね。:-)
Mac版 (スコア:1)
わじらをみてmozilla-japan.orgをみて
Mac版がない!…もしかして無関係?と思ったけど
本家に行ったらあった.
1.03 for Mac OS X [mozilla.org]
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:Mac版 (スコア:1)
ringは同期にもうちょい時間がかかるのかな。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Windows版:ショートカットが辿れない (スコア:1, 興味深い)
ダブルクリックすると「ショートカット名.lnkはすでに存在します。上書きしますか?」
と聞かれるようになったのだけど、同じ症状の人おられます?
(日本語版1.0.3を使用)
Re:Windows版:ショートカットが辿れない (スコア:1)
本家ではきちんと議論されてますよ。blocking-aviary1.0.4+です。
Bug 283730 - "Save As" dialog tries to overwrite link/shortcut (.lnk) file instead of opening the directory/folder [mozilla.org]
訂正 (スコア:1)
# でもパッチ提出されてるし…。
危険と言うより (スコア:2, 参考になる)
使っているソフトを登録しておくと、バージョンアップをメールで知らせてくれるサービスとか商売になるかもしれないね
メールの重要度と緊急性を連動させるとなおよし。
Re:危険と言うより (スコア:3, 参考になる)
「今すぐバージョンアップして下さい」なんていうメールが日常的に来るのに慣れるべきではない。もしそうなったら、それに混じって「今すぐここをクリックしてバージョンアップして下さい」みたいなメールで誘導させてウイルスやスパイウェアをインストールさせようとする者、それにひっかかる者が少なからず必ず現れるでしょう。
Re:FireFoxは危険なブラウザですね (スコア:1, おもしろおかしい)
telnetとか :-p
# おもしろおかしい狙いなので A.C.
Re:FireFoxは危険なブラウザですね (スコア:1, 参考になる)
telnetは危険なブラウザですね (スコア:1)
だそうです. [srad.jp]
Re:FireFoxは危険なブラウザですね (スコア:1)
1を聞いて0を知れ!
Re:FireFoxは危険なブラウザですね (スコア:1)
Re:FireFoxは危険なブラウザですね (スコア:1)
C# と VB.NET の入門サイト [wankuma.com]
Re:FireFoxは危険なブラウザですね (スコア:1)
Re:ふーん,乗換先はIEか (スコア:1)
ところで顧客がWin2000への対応を切望しても,IE7.0はWindows XP+SP2以降にしか対応しないみたいだけどサ,Windows2000で提供される安全なIE [srad.jp]はいったいどのバージョンなんだい?
定理 (スコア:1)
Re:定理(拡張) (スコア:1)
Re:定理(拡張) (スコア:1)
Re:FireFoxは危険なブラウザですね (スコア:1)
IEのBugFixチームは叩かれてもバグ修正をなかなかしない。
結論: /.Jで騒いで何になるんだ…
1を聞いて0を知れ!
Re:FireFoxは危険なブラウザですね (スコア:1, おもしろおかしい)
金を貰う前から積極的に修正してしまったら、
それが当たり前になるからわざとやらないのだ。
致命的バグをいくつも仕込むのは天然なだけで、
悪意は無いんだよ。
Re:FireFoxは危険なブラウザですね (スコア:2, 参考になる)
>バグがちゃんと修正され、かつ副作用がないことをきっちり検証しな>いといけない。(ま、実際にはなかなか完璧にはいかないが)
>要求されるレベルが違うのに、なぜ「なかなかしない」なんて一方的>に断言できるの?
http://japan.cnet.com/news/sec/story/0,2000050480,20082248,00.htm
http://bbs.hotfix.jp/ShowPost.aspx?PostID=2553#2553
MSは多分で商用製品なのにリリースしているようですが。。
両方のURL先を読めば判ると思いますが、
全くテストしてないと言って差し支えないレベル。
だから叩かれる。
Re:Firefox 1.0.3のリリースが遅れた理由 (スコア:1)
Re:Firefox 1.0.3のリリースが遅れた理由 (スコア:1, すばらしい洞察)
この「にしては」に甘んじているうちはダメなんだよね。
オープンソース「だから」良くやっている、
にならないとね。
#良く頑張っている、は、まだ足りてない、の言い換えに過ぎない。
Re:Firefoxで改善を望むところ (スコア:1)
この点で意見がある方は,mozillaZine日本語版 [dyndns.org]のトップにある「Firefox 1.0 以後のセキュリティへの対応は?」(5/14締切)という投票へどうぞ。;)
Re:Firefox 1.0.3のリリースが遅れた理由 (スコア:1)
> じゃあ、IEを叩くのも意味がないってことですね。
> 意味もなく叩くのはやめたほうがよいのでは?
ということだったのだと思われます。
ただ、残念ながら完璧になったとしても IE は叩かれる
でしょう。
MS を叩くことを美徳とするひとたちがいる以上、
そういう運命なんです。
#FireFox ユーザだけど ID
閾値は 0 で
Re:Firefox 1.0.3のリリースが遅れた理由 (スコア:1)
Re:Firefox 1.0.3のリリースが遅れた理由 (スコア:1)
だからIE(MS)と同じようにFirefox(オープンソース)も叩かれろって
言ってんだ。
Re:FireFoxは危険なブラウザですね (スコア:1)
なんでFirefoxのバグフィックスの話で拡張機能の例が出てくるんだろう。比較対象として間違ってませんか?
ただしFirefoxユーザとしては、Firefoxの「今すぐ更新」がいまだに働かない状況は非常に不満です。
Re:FireFoxは危険なブラウザですね (スコア:1)
そんな人が居たら見てみたい。
いや、関るのは嫌ですけど…
Re:FireFoxは危険なブラウザですね (スコア:1)
Linux Kernel 2.6.11 は既知のバグをすべてつぶしてリリースされたという 記事 [srad.jp] が最近投稿されていましたよ.
Re:あれ? (スコア:4, 参考になる)
Thunderbirdの1.0.3はありません。多分欠番になるのでしょう。
Minutes of the mozilla.org Staff Meeting of Monday 4th April 2005 - MozillaZine [mozillazine.org]より引用。
Re:あれ? (スコア:2, 参考になる)
その翌週の会合 (4/11) [mozillazine.org]では未だ議論の余地が残されているみたいです。でも時期は逸したような気も…。
Re:エクステンションに影響が・・・ (スコア:1, 参考になる)
をよく理解していないと、欠陥のあるextentionを作りがちであるという問題提起が
なされています。
# XPCOMのあたりがあまり理解できなかったAC
Re:エクステンションに影響が・・・ (スコア:1)
ところで、Copy URL+ が使えなくなったのは、うちだけですか?
Re:エクステンションに影響が・・・ (スコア:1)
うちもです。
友人のFx1.0.3でも使えなくなったそうなので、1.0.3ユーザみんなが使えないのではないかと。
cWind - 情報は自ら求める者の元に集う
Re:またw (スコア:1)