パスワードを忘れた? アカウント作成
10270 story

Mozilla/Mozilla Firefoxの脆弱性が再発 59

ストーリー by Acanthopanax
望まれない復活 部門より

mew曰く、"Secuniaのアドバイサリ SA15601が、Mozilla / Mozilla Firefoxに未パッチのFrame偽装脆弱性が見つかったことを報じている(Secuniaによるテストページ)。注目すべきは、今回報告された脆弱性は一度修正された問題の再発だということだ。
この脆弱性再発の確認がなされたのは、現時点で最新リリース版の「Firefox 1.0.4 and Mozilla 1.7.8」とのこと。以前の脆弱性報告 SA11978によれば、Firefox 0.9とMozilla 1.7でパッチがあてられたことを確認した、ということになっている。Mozilla Foundationによる告知でも同様となっており(このときのBugzillaの対応Bugは246448)、これ以降のいずれかの時点で regression が生じた模様だ。対策は「信頼できるサイトを(別ウィンドウで)閲覧したままの状態では、信頼できないサイトを閲覧しないこと」。Secuniaによる重要度は5段階中の3「Moderately critical」とされている。
なお手元のFirefox 1.0.4で試してみたところ、安定性に問題があるためデフォルトで無効化されているタブ機能「シングルウィンドウモード」が有効であれば、ツール→オプション→詳細→「新しいウィンドウを開くリンクは全て次の場所に開く」で「新しいタブ」を選択しておくことでも回避できるようだ。ただし自己責任で。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by KAMUI (3084) on 2005年06月06日 21時09分 (#747184) 日記
    見事に脆弱性取り込んでるよ~だ・・・_| ̄|○
  • テストページ? (スコア:3, 参考になる)

    by Anonymous Coward on 2005年06月06日 21時50分 (#747205)
    Firefox/1.0.4 で再現しました(X11; U; Linux i686; ja-JP; rv:1.7.8)。
    脆弱性のテストページ [secunia.com]はこんな感じでいいですか?

    1.下のリンク先をクリックする(MSDN のサイトが別ウィンドウで表示される)
    2 元のウィンドウに戻り(Windowsなら Ctrl-Tabとか?) その下のリンク先を
    クリックする。
    3 1.で開いたウィンドウに、2.で開いたサイトのコンテンツがインライン表示
    されていたら(偽コンテンツを混ぜられた)、脆弱性がある。
    • Firefox1.0.4+TabbrowserExetnsisonで別サイトは新しいタブで開く
      ってやってますが、再現しませんでした。
      同様にIE6.0 SP1 6.0.2800.1106+Q867...なんてのでやってみたら
      別ウインドウの真中のフレーム内容が変わってしまった。
      Opera8.0でやってみたら、Firefox同様別タブで開きますね。
      じゃ・・ってんでExtensionなしのNetscape 8.0.1では
      設定よくわかんない(英語だし)んですが、やはり別タブで開き
      MSDNのページを表示しているタブに変化はありませんでした。
      Open a new tab instead of a new windowってトコにチェックが入ってます。
      --
      **たこさん**・・・
      親コメント
    • by Anonymous Coward
      TabMixてプラグイン入れてて、全部新しい「タブ」で開くようにしてるんだけど全然再現してくんない。「ウインドウ」と「タブ」って完全に別物? うれしいやら哀しいやら・・・。
    • by Anonymous Coward
      風博士0.2.7(FreeBSD-5.4およびDebianGNU/Linux3.1)でも脆弱性が確認された。
      別ウィンドウは勿論、タブ表示でもインラインコンテンツが混ざってしまったorz。
    • by Anonymous Coward
      IE6.0でも、Sleipnirだと再現されませんでした。
      Sleipnirからではなく、IE6.0では再現されました。
      ほかのIE系のブラウザはどうなんでしょ?
    • by Anonymous Coward
      Safari 2.0では、問題ないみたいですね。
    • by Anonymous Coward
      Opera8.01。再現せず。
  • こういうの [srad.jp]もありました。

    Mozillaよお前もか、と少々哀しい出来事です。

    とりあえず、Konquerorとw3mを使いますが(w
    --
    /.configure;oddmake;oddmake install
    • by Anonymous Coward on 2005年06月06日 22時01分 (#747214)
      >Mozillaよお前もか、と少々哀しい出来事です。
      全くだ。

      と思ったら、
      「なお今回のセキュリティ・ホールは,Internet Explorer(IE)やOpera,
      Netscapeといった複数のブラウザに見つかっている。
      (中略)
      IEについては,修正パッチなどが提供されないまま現在に至っている。」
      http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050606/162208/
      親コメント
    • IE5/6が未パッチとかエンバグだとかで枝がこれ以上伸びる前に言いますが、
      Firefoxと同じで設定変更するだけです。
      Secunia - Advisories - Internet Explorer Frame Injection Vulnerability [secunia.com]にはしっかりと、

      Disable the following security setting:
      "Navigate sub-frames across different domains".

      (似非日本語訳)
      次のセキュリティ設定を"無効"に変更する:
      「異なるドメイン間のサブフレームの移動」

      ときちんと書いてあります。
      フォロー記事は窓の杜のこの記事 [impress.co.jp]だけだったのような気がしますが。
      # セキュリティホールmemoの当時のログ [ryukoku.ac.jp]を見てもそんな感じ。
      # Firefox熱が高かった時期だし仕方がないけどさ・・・

      WindowsUpdateで強制的に設定変更させるパッチを流すというのも解の一つですが、副作用が多き過ぎて到底受け入れられないでしょうね。
      それが現在もIEが未パッチの理由。
      同様にFirefoxも初期設定が元に戻っただけのような気がします・・・
      元に戻す理由があったのか、管理ミスなのかどうなんでしょうかね?
      個人的想像ですが、不便で使えないとか使いにくいからとかそういった理由な気がしますが。
      この問題は本当に利便性か安全性をどうするかというトレードオフで、初期設定をどうするかが悩ましい物だと思います。
      掲示板やCGIを別のサーバーからレンタルや借りてきてフレームに組み込むなんて当たり前にやってたりしますし。

      # 本質的には窓の杜の記事が言うように規格元が新たにフレームの名前の寿命や、
      # 影響する範囲をどうするか定義しないかぎりどうしようもないかと思う
      親コメント
      • それは違います。 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2005年06月07日 20時34分 (#747961)
        >同様にFirefoxも初期設定が元に戻っただけのような気がします・・・

        そうではなく、別のセキュリティバグ [mozilla.org]を修正したによる副作用(いわゆるregression:退行)です。

        この問題の背景はタブです。昔は「ウィンドウ」が文字通りウィンドウを指していての数え方も取り扱いも非常に楽だったんですが、タブブラウジングを円滑に行うために、ウィンドウ生成プロセスの一部を変更しました。というより、ここを長い間、変更できずにタブブラウジング機能は非難を浴び続けていたのですが、最近になってようやく見直されたのです。ですから、経験の量が不足しているわけで、私の感想としては、ミスには違いないけど、さほど意外ではない、というところですかね。

        新しいウィンドウに正しい権限を設定できていないのが直接の原因です。
        bug 296850 [mozilla.org]

        おっしゃるように、利便性と安全性の問題は、もちろん依然としてあるのですが、それは一応結論がでているわけでして(例えば、タブ機能をオンにして2chに行くとわかります)、今回のものは純然たるバグです。

        # 「ウィンドウ」を4通りの意味で使ってしまったが、他にいい表現も思い浮かばないしなぁ。
        親コメント
      • >掲示板やCGIを別のサーバーからレンタルや借りてきてフレームに組み込むなんて当たり前にやってたりしますし。

        そろそろ、こういう事をやめようという運動が出てきても良いような。
        ブラウザをセキュアな状態に保ったままでは正常に観賞できないサイトってのはちょっと問題があると思う。
        • しかし、たとえば2ちゃんねる [2ch.net]といった巨大サイトになると、
          負荷分散のためにサイト内で別サーバーを複数用意する事があると思います。
          個人でもプロバイダーがCGIを実行できるサーバーを用意していないとか、
          セキュリティ確保のためにCGIだけ別のサーバーで実行されるといった場合があります。
          サーバーが同じだったとした場合、同一プロバイダーだったら、ドメインでは区別が出来ませんのでやはり駄目でしょう。
          そういう事を考えると、実現可能かどうかは微妙かなぁ・・・と。

          まっ、最近は見た目や同様の機能をTABLEタグ,CSS,JAVA Scriptでなんとか出来てしまうわけで、
          自分のサイトにフレームを使わないという選択肢もアリかなとは思います。
          # 例えば./ [srad.jp](Not typo)のように

          一部環境でレイアウトが崩れまくるのが面倒なんですけどね・・・
          親コメント
    • Mozilla Firefoxはセキュリティを最重要課題としつづけているとのことだが、新しい機能を付け加えるだけでなくこれまでのバグフィックスの成果も怠り無く引き継がれるようにしてもらいたいものである。
      とでも言っておこう。平等に。
    • >Mozillaよお前もか、と少々哀しい出来事です。
      だよなぁ。
      新しい穴が見つかるよりも印象悪いし。
      • そうですね。

        つい先日「セキュアプログラミング」という本を読んだところなのですが、
        その本には「コーディングよりも設計、運用の方が大事」というようなことが
        書いてあり、パッチ当ての方針も「設計」として重視すべきだとありました。

        バッファオーバーフローでも任意のコマンドが実行されないようにする方法さえ
        いろいろ出てきている今、真の意味でセキュリティを考えているならば
        コード自体よりも、こうしたプロジェクト運営などの面での工夫が重要と
        言えそうです。それを裏付ける点として、最近発見された脆弱性は(これまた
        本で警告されていたことですが)、正常に動作しているプログラム同士の
        組み合わせに生じる問題といった微妙なものが多くなっているように思います。
        ソフトウェア単体やコードだけを見ていると、こうした穴を見逃してしまうようです。

        オープンソースプロジェクトでこういう対策(セキュリティに配慮し指針に
        沿ったプロジェクト運営)をやろうとすると、
        「規則ばっかり作ってたら進まない」
        「政治やりたいんだったらヨソに行きな」
        という反応が出そうですけれど、mozilla 陣営は比較的成功しているように
        見えていますので、より一層の進展を願います。
        (この点でも OpenBSD がお手本になるだろうか……)

        #酔ってるけど ID で。
        親コメント
        • OpenBSDのどの部分を手本にすべきなのでしょうか?
            • 実際には Theo の占める部分が大きいようにも思いますが(^^;
              私の書いたコメントでは http://www.openbsd.org/security.html の
              「継続的・多面的な audit」や「proactivity」の中に含まれている
              (ただし、たぶんすべてが明文化されているわけではない)指針を
              意識していました。

              実例としては Hackathon で unionfs や telnetd が消えたことを
              挙げられると思います。コードは audit されているので問題ない
              としても、実際に使われる場面を想定したときの安全性について
              疑問が残るので消した、ということでしょうから。

              「便利だから」「みんな実装してるから」という理由を理由として
              認めない……と言えるかもしれません。mozilla のほうが明文化
              され確固としたプロジェクト運営指針を持っているように見えるの
              ですが、実際にはそうしたものを開発者個人の哲学として持っている
              OpenBSD のほうがセキュリティの向上に成功しているので、そこで
              用いられている理念をお手本にできないかな、と思ったのでした。

              でも最後のカッコで書いただけなので、あんまりつっこまないでください。
              私自身はヘボいタコですし、知ったかぶりでウソつくことがよくあります。

              親コメント
    • Konquerorとかw3mって始めから相手にもされてない
      利用者が少ないからフィードバックする人や穴を発見する人も
      少ないって事かもしれない
  • 他にも (スコア:1, 興味深い)

    by Anonymous Coward on 2005年06月06日 21時46分 (#747202)
    firefox 1.0.4よりも後に別のもっと危険な脆弱性のfixがCVSに入ってるぞ。
    firefoxを実行しているユーザの権限を完全に奪取できる奴。
    • by Anonymous Coward
      詳しく
      • by Anonymous Coward
        nightly buildでは修正済み。
        Firefox 1.0.4ではJavaScriptを無効にすれば回避可能。
        詳しくはCVSのコミットログとかソースコードとか。

        IEでもFirefoxでもJavaScriptさえ切っておけば概ね安全だ。
        • by Anonymous Coward
          >nightly buildでは修正済み。

          その差分をとってみれば、脆弱性の内容や回避策、修正版リリースがされるまえに
          どういう脆弱性かすぐわかるわけですね。

          0 day attack される危険ありますね。

          悪意のハッカーがいて、その気になったら危険ですね。
          オープンソースってあぶないですね。

          (フレームのもと-1)
  • Caminoでも再現 (スコア:1, 参考になる)

    by Anonymous Coward on 2005年06月06日 22時18分 (#747223)
    Camino 2005042806(v0.8.4Int)でも再現してしまいました。
  • by Motohiko (15295) on 2005年06月08日 13時42分 (#748302) ホームページ
    2005-06-07 16:15 PDTにaviary branch (平たく言えば1.0.x系列のブランチ) に、16:34 PDTにtrunkに修正が入りました。とりあえず2005-06-07-20のbeast-trunkでは修正されたっぽい。

    ところがaviaryのバージョンって未だ "1.0.4" を称してるんだよね…。

  • by Anonymous Coward on 2005年06月06日 21時21分 (#747187)
    Firefoxもか。
    IEに脆弱性が見つかるとすぐに「Firefoxに移行しろ」っていう厨が居るけど、これじゃFirefoxも安心して使えないね。
    Firefoxを使う意義が見えなくなってきたよ。
    # といいつつ1.04使ってるけど
    • by fukapon (4131) on 2005年06月06日 21時30分 (#747190)

       あれだけ複雑なソフトウェアを、それ単体で考えて安心して使おうというのはそもそもの誤り。複雑なソフトが孕む危険性の前には、それがInternet Explorerであるか、Firefoxであるかなんてのは些細な差でしかありません。

       って、断って宣伝してもインパクトはないけど、そうやって宣伝して正しい意識のもと使ってもらうことも、セキュアなソフトになるための大切な条件だと思います。

       ...なんかわかりづらい日本語書いているんですが、許して。

      親コメント
      • by esus1 (20098) on 2005年06月06日 21時39分 (#747195)
        IEはOSと密だから嫌がられるんでしょ? 安直に「些細な差」とは言えない。
        親コメント
        • Re:結局 (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2005年06月07日 1時36分 (#747350)
          穴があるかどうかが重要なのであって、OS と密かどうかなんて
          利用者は気にしない。

          OS と疎であっても、ダメなものはダメ。
          親コメント
    • Re:結局 (スコア:1, 興味深い)

      by Anonymous Coward on 2005年06月07日 19時10分 (#747906)

      FirefoxのほうがIEよりもセキュアである理由として、「IEは直されたはずの脆弱性が復活するから [srad.jp]」とつい最近発言していたFirefox厨がいましたが、それほど日をおかずにFirefoxのほうも同じであるということが証明されました。
      このACは今でも同じ主張しますかね。

      私は安全に使えるならIEでもFirefoxでもどっちでもいいと思いますが、Firefoxを強く押す人に多い傾向として、IEのことをネチネチと批判するが、同じ批判材料がFirefoxでも出たら、手のひらを返すように今度は問題ではないと擁護するという矛盾。
      客観的にみていて、なんかズルイ態度だと感じます。

      もしそのような人々の主張を聞いて「IEは危険なんだね。Firefoxを使うことにしますよ」と思った人が、Firefoxでも同じ問題がでて危険なことを知ったときに「Firefoxは問題ないんだ」と言い訳にならない主張をされると、「このFirefox支持者たちは信用できない。自分の好みを押し付けているだけじゃないか?」と思い始めないかと心配です。
      もしかしたら既にそう思い始めている人もいるかもしれません。

      親コメント
      • by Anonymous Coward
        戦争にはズルが必要なのだよ、大人になれば分かる。
    • by Anonymous Coward
      Fxに脆弱性が見つかるとすぐにFx厨批判がはじまるわけですが、Fxまでごっちゃに批判するのは、価値を不当に評価しています。
      Fx厨の問題はFxの所為じゃないというだけで、脆弱性は充分対処しなければならない問題ですが。
      でも問題の指摘は厨批判を取り込まなくてもいいですよね。

      もうひとつ、Fx移行の理由はIEの脆弱性だけじゃない(し、脆弱性もこの脆弱性だけじゃない)んで、その理由に魅力を感じな
      • by Anonymous Coward
        FxってFixの略?
      • by Anonymous Coward
        M$とか書く人間が何偉そうなこと言ってるの?
        • by Anonymous Coward
          M$と書いたACです。
          私がそう書いたのは、そんな書き方する程度の理由でも理由に含めました、って意味だったんですが。
          確かに自分で説明不足な書き方しておいて偉そうでしたね。
          フレームの元すいません。
          • by Anonymous Coward
            「そんな書き方する程度の理由」ってどういうこと?
            何を言いたいのかサッパリわからないよ。
  • by Anonymous Coward on 2005年06月07日 1時08分 (#747335)
    原因ってなんなの?
    MSみたいに矛盾だらけのシステムなら開いた穴が復活するのは
    自然現象レベルでしょうけど

    原因って船頭多くして船山登るか?
    単に戻ったのであればソース管理上手く言ってないのが原因なんでしょうけど
    こうなるとしっかりしたマネージメントって大事だよね。

    実態がよくわかってないけど
    複数の人が同じソースを改良するんだろうけど
    たとえば
    元のソースをAが1日で修正
    同じソースをBが3日後改良した場合
    Aが修正したソースB上書きする形にならないかな
    そうなってくるとAとBのコミュニケーションの問題になってくると思う

    実際どうなでしょ、
    • by Anonymous Coward
      CVSって知ってる?
      • by Anonymous Coward
        元コメントのような場合、修正箇所が競合して人間による
        マージが必要なこともあります。

        また、CVSは複数の修正の関連性を理解しているわけでは
        ないため、マージできたとしても結果が妥当なものであるか
        検証する必要はあります。

        どちらも、事前の調整によりある程度回避できますけどね。
    • by Anonymous Coward
      MSの話題じゃなくてもMSを叩く文言から始めないと
      気がすまないのですか?

      病んでますね。一回病院行った方がいいのでは?
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...