Firefox にバッファオーバーフローによる新たな脆弱性

Firefox にバッファオーバーフローによる新たな脆弱性 121

ストーリー by yoosee 2005年09月10日 11時24分
自分の身は自分で守る部門より

silvervine 曰く、 "Mozilla の最新バージョンを含む複数の製品に、バッファーオーバーフローによってブラウザのクラッシュ、及び場合によっては任意のコードが実行されかねない脆弱性が公開されたとの記事が mozillaZine.org に掲載されている（参考訳）。この問題の影響を受けるのは最新版の Mozilla Firefox 1.0.6 と Mozilla Application Suite 1.7.11、さらには二日前に公開されたばかりの　Mozilla Firefox 1.5 Beta 1 も含まれる。

この脆弱性は、ソフトハイフンを含む長いリンク文字列を処理する方法に起因しており、Mozilla Foundation/Mozilla Japan からはこの問題を暫定的に回避するためのパッチが公開されている。

問題の発見者は、一旦は Mozilla Foundation が定めるセキュリティバグポリシーに従って報告したものの、Mozilla のスタッフと「接触した後」に問題を広く公開すると決心したとのこと。どうして彼が翻意して、問題を公開しようとさせたのか気になるところだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索121コメント Log In/Create an Account

即刻公開！VSパッチができるまでは…… (スコア:5, 興味深い)

by Tsukitomo (22680) on 2005年09月10日 11時59分 (#797121) 日記

> どうして彼が翻意して、問題を公開しようとさせたのか気になるところだ。
今回バグを公開したTom Ferrisは、IEのバグについても、MSとやり合ったことがあるみたいです。Bug hunters, software firms in uneasy alliance [com.com]に書かれています。
bag hunterはユーザに危険を周知させるためにできるだけ早い公開を主張し、software firmsは対策が完了する前に公開すれば攻撃者のエサになるばかりだから、しばらくは秘密裏に作業させてくれと言う。
今回も、同じようなやり取りがあったのではないでしょうか。

--
Your 金銭的 potential. Our passion - Micro$oft

Tsukitomo（月友）
- - - Re:即刻公開！VSパッチができるまでは…… (スコア:2, おもしろおかしい)
      
      by tuneo (2938) on 2005年09月12日 14時01分 (#797750) ホームページ日記
      
      えー、グローバルフラグ立てて置換しちゃうの？
      それってよろしくないんじゃないかなぁ。
      bug hunterはユーザに危険を周知させるためにできるだけ早い公開を主張し、softwure firmsは対策が完了する前に公開すれば攻撃者のエサになるばかりだから、しばらくは秘密裏に作業させてくれと言う。
      
      シェア
      
      親コメント
手動での回避策 (スコア:5, 参考になる)

by silvervine (12840) <{silvervine} {at} {gmail.com}> on 2005年09月10日 12時21分 (#797129) 日記
この問題は要するに IDN のサポートを停止すれば良いので、Mozilla Foundation/Mozilla Japan が提供しているパッチを適用しなくても、簡単に回避設定できます。
1. ロケーションバーに about:config と入力する
2. フィルタリング機能を使って network.enableIDN を呼び出す
3. Value を faulse にする（文字列をダブルクリックすれば値が変わります）
取り敢えずはこれで問題を回避できます。
--
はてな支店 [hatena.ne.jp]
- Re:手動での回避策 (スコア:3, 参考になる)
  
  by Technical Type (3408) on 2005年09月10日 13時20分 (#797151)
  
  さっそく回避策を取りました。感謝です。
  ところで ITmedia から記事が出てます。Firefoxに極めて重大な脆弱性 [itmedia.co.jp]
  FrSIRT のブレティン [frsirt.com]によれば、これをインストールする方法でも回避可能との事。
  http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/... [mozilla.org]
  
  シェア
  
  親コメント
- Re:手動での回避策 (スコア:1)
  
  by makochi13 (25998) on 2005年09月10日 13時35分 (#797158) ホームページ日記
  無知なオイラはIDNが何なのか分からなかったので、検索
  
  IT用語辞典 e-Words ： IDNとは【国際化ドメイン名】 (Internationalized Domain Name)　─　意味・解説 [e-words.jp]
  
  国際化ドメイン名の事らしいですが、
  
  IDN のサポートを停止すれば良いので
  
  これをオフにすると国際化ドメインは使えなくなるということ？
  まぁ今まで使ったことなさそうだしバグ修正される間に使うことも無さそうなので手順に従ってオフにしましたけど
  シェア
  
  親コメント
- Re:手動での回避策 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2005年09月10日 23時53分 (#797320)
  
  設定変更したら、Firefoxの再起動も忘れずに。
  
  シェア
  
  親コメント
- Re:手動での回避策 (スコア:1)
  
  by nenoneno (28388) on 2005年09月13日 9時35分 (#798172) 日記
  
  素直に感謝します。ありがとう!
  #ただ、IDNは必要になる時が来るのでしょうか?
  
  シェア
  
  親コメント
- - Re:手動での回避策 (スコア:2, 興味深い)
    
    by Anonymous Coward on 2005年09月10日 13時49分 (#797162)
    
    NetscapeNavigatorの頃からある基本機能だったりする
    
    シェア
    
    親コメント
    - - Re:手動での回避策 (スコア:2, おもしろおかしい)
        
        by yet-another-su (15375) on 2005年09月10日 19時02分 (#797245)
        
        「about:mozilla」とかもありましたよね。私はこれを一番最初に覚えたかな。
        
        シェア
        
        親コメント
        
        Re:手動での回避策 (スコア:1)
        
        by d_sword (5299) on 2005年09月10日 23時48分 (#797317) ホームページ日記
        
        そこ、なんとなく愛着がありまして、ホームページにしてます。
        
        シェア
        
        親コメント
  - aboutハンドラ (スコア:1, 参考になる)
    
    by Anonymous Coward on 2005年09月11日 1時42分 (#797357)
    
    about:
    about:blank
    about:buildconfig
    about:cache
    about:config
    about:credits
    about:mozilla
    about:plugins
    
    #firefoxにもabout:aboutが欲しい
    
    シェア
    
    親コメント
  - - Re:手動での回避策 (スコア:1, 興味深い)
      
      by Anonymous Coward on 2005年09月10日 14時47分 (#797179)
      
      > みんな知っている。
      そういう態度は、新しいユーザーに、とーしろは使うな、出てゆけ、と言っているようなものだと、なぜわからないんですか？
      
      あなただったら、今初めて知った物のことを、「知らないのかよ、常識だろ」のような言い方をされたら、不愉快になりませんか？
      あなたの表現はともかく、言われたほうはそう受け取ると思いませんか？
      
      このような人ばかりだと思われたら、せっかく利用者の裾野が広がりかけているのに、普及しなくなるじゃありませんか。
      # あ、もしかすると、普及しなければ攻撃対象になりにくいから、
      # 追い出しにかかっている？
      
      シェア
      
      親コメント
なんとも単純な (スコア:4, 参考になる)

by deleted user (19654) on 2005年09月10日 12時25分 (#797133) ホームページ日記

今回の脆弱性を exploit する方法は非常に簡単のようで、
https:---------------------っていうだけです。

workaround も非常に簡単で、IDN を無効にするだけですから、
即刻対処しましょう。
- Re:なんとも単純な (スコア:1)
  
  by Tsukitomo (22680) on 2005年09月10日 12時50分 (#797139) 日記
  
  exploitするハイフンはキーボードから入力したものでなくて
  「ソフトウェアハイフン」なる、コンピュータが出力する文字の
  ようです。ただし、見た目には違いがないそうですが。
  キーコードが違うんですかね。
  
  --
  Your 金銭的 potential. Our passion - Micro$oft
  
  Tsukitomo（月友）
  
  シェア
  
  親コメント
  - - Re:なんとも単純な (スコア:5, 参考になる)
      
      by Angelica (23122) on 2005年09月10日 13時13分 (#797148) 日記
      
      UnicodeのU+00ADのことですかね。
      
      合成語などに使う常に見えているべきハイフンとは違い、単語の中の切れ目を示すために使われるもののようです。普段は隠れていて、単語の途中で改行をするときだけに現れるハイフン。
      
      シェア
      
      親コメント
      - Re:なんとも単純な (スコア:1)
        
        by deleted user (19654) on 2005年09月10日 17時38分 (#797226) ホームページ日記
        
        へえ。以前 texinfo のマニュアルを見ていたとき
        @- [gnu.org]っていうのを見て感心したのですが、
        Unicode 自体にもそういうのがあるんですね。
        
        シェア
        
        親コメント
一般論 (スコア:2, すばらしい洞察)

by vn (10720) on 2005年09月10日 11時56分 (#797119) 日記

脆弱性を見つける能力があるからと言って、
見つけた脆弱性問題を適切に処理できる能力があるとは限りません。

とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。
- Re:一般論 (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2005年09月10日 21時13分 (#797275)
  
  >とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。
  
  違います。重視すべき点ですよね。
  ＃MSには厳しく、Mozilla Foundationには優しくの典型的な
  ＃意見だな。
  
  それが正しい判断かどうかは、公表してしまった後はどうしよも
  なくなりますが、まだ修正されていない状況で詳細を
  悪意の第三者を含む範囲に公表することの問題があります。
  
  中には、IEの開発元であるMSに全くコンタクトもとらず、
  はじめから投げやりな考えで脆弱性を公表し、exploitまで
  公表しちゃうアホもいましたが。
  
  脆弱性問題を適切に処理するのは開発元のお仕事ですが、
  発見者が報告したときに開発元が示した対応・態度によって
  公表しなくてはきちんと修正されないと考えられることが
  まれにあります。
  
  報告した問題を開発元が矮小化して公表したり、あるいは
  開発元は問題ではないと判断したり、最悪の場合は一切何も
  ユーザには公表せずにこっそりと修正するケースもあります。
  
  この発見者がどのケースに当たるのか興味のあるところです。
  
  シェア
  
  親コメント
  - Re:一般論 (スコア:1)
    
    by vn (10720) on 2005年09月10日 22時36分 (#797287) 日記
    
    >とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。
    
    違います。重視すべき点ですよね。
    ＃MSには厳しく、Mozilla Foundationには優しくの典型的な
    ＃意見だな。
    違います。発見者がパッチ提供に先立って公表したという事実は
    重要であり、この問題の解決にも影響を与えているでしょう。
    しかし、それに至った判断の重み付けは別の問題です。
    
    たとえば判断力のない中学生だったとしても、知り得たことを
    不用意に公表するという事実を作ることは出来るからです。
    その中学生の偶発的な判断に基づいて、開発元の姿勢や体質を
    占うというような愚は避けなければなりません。
    それと同じことが、今回のストーリーについても言えます。
    
    今回の Tom Ferris 氏の場合、脆弱性を公表するにあたっては
    自身のウェブサイトに記事を載せた訳ですが、その記事への
    コメントを全部非公開扱いとした、ということが伝わっています。
    脆弱性を見つける能力があっても、そういうことをする人もいるのです。
    
    シェア
    
    親コメント
    - - Re:一般論 (スコア:1)
        
        by vn (10720) on 2005年09月11日 0時47分 (#797346) 日記
        
        場合によっては、開発者の本性がどうなのか垣間見ることが
        できるからです。
        先にも述べたように、脆弱性発見者の偶発的な判断に基づいて
        開発元の姿勢や体質を占う、という愚は避けなければなりません。
        修正前に公表してしまわないよう何らかの手を
        打っておくのは開発元の仕事としては非常に重大なことです。
        Mozilla Foundation が何らかの手を打っておかなかった、
        とでも思っているんでしょうか。そうだとしたら、余りにも
        現実感覚のない憶測であると言わねばなりません。
        何らかの手を打ったとしても、それが功を奏するか否かは
        脆弱性発見者の不確かな判断力に依存します。
        
        今回、脆弱性を公表した人の信頼性に関する情報を追加して
        おきますと、当初彼が報告した内容は不十分なものでしかなく、
        Mozilla Foundation のスタッフが調査した内容をあたかも自分の
        手柄であるかのように公表した、という話が伝わっています。
        
        シェア
        
        親コメント
パッチのアップデート (スコア:2, 興味深い)

by chute (19365) on 2005年09月10日 18時18分 (#797236)

> 1. Firefox または Mozilla Suite をお使いの方は、以下のアドレスをロケーションバーにコピー＆ペーストして Enter キーを押してください。
> http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi

書かれてる通りにやっても、なんも出ません。なぜだろう？
- - Re:パッチのアップデート (スコア:3, おもしろおかしい)
    
    by chute (19365) on 2005年09月10日 23時02分 (#797296)
    
    ４時間たってから再度やったらできました。
    その間に何も変更はしていないので、
    
    > 7. 日頃の行いが悪かった
    
    が正解のようです。orz
    
    シェア
    
    親コメント
とりあえず (スコア:1)

by hctom (8713) on 2005年09月10日 13時21分 (#797152) ホームページ日記

1.0.5のときのようなことがおきませんように。
Fedora Coreアップデート (スコア:1, 参考になる)

by Anonymous Coward on 2005年09月10日 15時54分 (#797190)

Fedora Core 3および4にFirefoxとMozillaのアップデート来た。
脆弱性ってどうやって見つけるのか (スコア:1)

by Livingdead (18685) on 2005年09月10日 17時50分 (#797230) ホームページ日記

こういう脆弱性ってどうやって発見してるのか、すごく興味有ります。特にソースコードが公開されていないようなプログラムの場合。自分の書いたデーモンのソースコードを見直してみて、こりゃやべ～と気づいて修正した、などということはありましたが、まったく手探りでどうやって発見しているんでしょうか。

ICEで注意深くトレースしているんでしょうか？デバイスドライバの開発で使うことはありますが、その延長で、でっかいバイナリをこつこつとリバースエンジニアリングして発見してるんでしょうか？IEの脆弱性とか発見する人たちは。

--
屍体メモ [windy.cx]
- Re:脆弱性ってどうやって見つけるのか (スコア:1)
  
  by phason (22006) <mail@molecularscience.jp> on 2005年09月11日 10時53分 (#797411) 日記
  
  ・「長い入力なんて絶対無いだろ」と思っている入力に対し，とり
  あえず異常に長い入力を喰わせておかしくならないか見てみる．
  ・「文字しか入力しないだろ」って所に変なバイナリデータとか突っ
  込んでみる．
  ・入力ファイルは**って物だろって所に別な物を投げ込んでみる．
  
  等々，開発者が「ここの入力は○○だ」と想定している（というか
  無意識にそれ以外の可能性を排除している）部分に違うものを叩き
  こむのが基本じゃないかと．で，バッファオーバーフローを狙う．
  あとは動作の推測ですかねえ．「ここで拾ったデータをこれと組み
  合わせて次のこの処理に流しているはずだから，こういうデータを
  入れると変なもんが実行されるんじゃないか？」とか．
  
  エレベータ等の組み込み機器のハックとか，街頭端末のハックとかと
  似たような感じなのかなあと思ってみたり．
  #前者は組み込んであるコマンドを探り当てるんでちょっと違いますが．
  
  シェア
  
  親コメント
- - - - Re:脆弱性ってどうやって見つけるのか (スコア:1)
        
        by vn (10720) on 2005年09月12日 22時39分 (#797894) 日記
        
        既知の脆弱性だとすると、「見つかる」というより「ぶつかる」
        の方が適当な表現だと思いますが....
        
        シェア
        
        親コメント
- Re:こんなことなら (スコア:2, すばらしい洞察)
  
  by Tsukitomo (22680) on 2005年09月10日 16時15分 (#797194) 日記
  
  そんなに国際化ドメイン名を多用しているんですか？
  私の使う限りでは、日本語ドメインを入力する機会は
  まったくないのですが。
  
  いちおう3000サイト以上 [xn--wgv71a119e.jp]はあるみたいですが。
  
  --
  Your 金銭的 potential. Our passion - Micro$oft
  
  Tsukitomo（月友）
  
  シェア
  
  親コメント
  - Re:こんなことなら (スコア:1)
    
    by copel (28292) on 2005年09月10日 23時24分 (#797306)
    
    脆弱性が利用されてしまうかどうかは、IDNが多用されているかどうかと
    全然関係ないと思うんだけど。
    
    たいていの日本語ドメインサイトは、日本語ドメインで誘導してても
    自サイトの英語ドメインにとばしちゃうようなやりかたしてるから、
    気づかずにいるだけかもしれないってのはまた別にあるけどね。
    
    シェア
    
    親コメント
  - Re:こんなことなら (スコア:1)
    
    by greentea (17971) on 2005年09月12日 10時03分 (#797690) 日記
    
    http://www.マイクロソフト.com/ [xn--eckwa6b3bwd6b6f.com]ってのもあるみたいです。
    
    --
    1を聞いて0を知れ!
    
    シェア
    
    親コメント
- Re:こんなことなら (スコア:1, 興味深い)
  
  by Anonymous Coward on 2005年09月10日 17時59分 (#797231)
  
  #釣りにマジレスですが
  
  一番いいのは状況に応じていくつかのブラウザを使いこなすようにしておくことかもしれませんね。普段どれかお気に入りのブラウザを持っておくにしても、それがだめになっても何の抵抗もなく一時的にせよ違うブラウザに切り替えられるという。
  
  もっとも多様化といっても、事実上Windowsの場合で「Firefox」「IE」「Opera」ぐらいしか選択肢はないですが。
  
  シェア
  
  親コメント
- Re:こんなことなら (スコア:1)
  
  by Elbereth (17793) on 2005年09月10日 19時48分 (#797258)
  
  IE使ってた頃も同じ事言っていたのでは。
  IEに戻したりOperaにのりかえてもまた同じことになるんじゃないですか。
  
  シェア
  
  親コメント
  - Re:こんなことなら (スコア:1)
    
    by suezo (2881) on 2005年09月10日 23時31分 (#797310) 日記
    
    少なくともマイナーでありつづける限り攻撃しようなんて暇人は少ないでしょう。
    
    シェア
    
    親コメント
- - Re:忘れ物をお届けにあがりました (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2005年09月11日 3時41分 (#797378)
    
    そうそう。ちゃんと「修正」を伴っているかは重要だよな。
    
    シェア
    
    親コメント
  - - - Re:忘れ物をお届けにあがりました (スコア:1)
        
        by KENN (3839) on 2005年09月11日 19時59分 (#797528) 日記
        
        つかそれ、cvsのbugなので、FreeBSDだけの問題じゃなかったりします。
        
        debian [debian.org](対象はwoody)
        RedHat [redhat.com]
        Vine [vinelinux.org]
        バグレポするためのプログラム(cvsbug)にバグがあるってのも…
        
        シェア
        
        親コメント
- - - Re:忘れ物をお届けにあがりました (スコア:1)
      
      by Motohiko (15295) on 2005年09月11日 21時31分 (#797559) ホームページ
      
      というか、bugzillaってその方面の管理ができるツールという訳じゃないかと。若しくはそういう検索をしてどうこうするように管理されている訳じゃないかと。例えば
      Bug 215093 - 1.0 Feature Development Tracking [mozilla.org]
      なんてまだ開いたままだし。
      
      シェア
      
      親コメント
- Re:IEがいい。 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2005年09月11日 19時53分 (#797522)
  
  > やっぱりIEがいいですね。
  > なんだかんだ言っても不具合があれば迅速にパッチをリリースしてくれるし、
  
  Firefoxが登場してから今までに外部から任意の操作を行える危険な脆弱性は今回を含めて2回しか発見されてませんよ。
  それに比べてIEは毎月のように発見されています。
  
  また、パッチのリリースまでの時間も今回のようにFirefoxなら迅速ですね。
  
  > 世の中のhtmlはIEが標準と言っても過言ではないですし。無理に他のブラウザ使うこと無いと思います。
  
  これは確かにそういうアフォなサイトがありますね。
  スラッシュドットもFirefoxでは横スクロールバーが表示されますし。
  ちなみに横スクロールバーが表示されるのは、スラッシュドットのHTMLの幅指定が間違っているからであり、
  FirefoxやOperaの挙動が正しくIEのレンタリングは不適切です。
  
  # 故意に横スクロールバーを表示させていると言い訳されたら
  # それまでですが…。
  
  シェア
  
  親コメント
- Re:IEがいい。 (スコア:1)
  
  by vn (10720) on 2005年09月12日 8時34分 (#797668) 日記
  
  やっぱりIEがいいですね。なんだかんだ言っても不具合があれば迅速にパッチをリリースしてくれるし、
  Highly critical (今回の Firefox の脆弱性と同じレベル) かつ、
  2年以上もパッチを出さずに放置している問題 [secunia.com]がありますね。
  どこをどう解釈すると「迅速」という言葉が出てくるんでしょうか?
  
  シェア
  
  親コメント
  - Re:IEがいい。 (スコア:1)
    
    by midland (17619) on 2005年09月12日 20時01分 (#797834)
    
    IDからの質問でないとまともに答えていただけないようなので
    私からお聞きいたします。
    
    どこをどう解釈すると、それが[IEの脆弱性]になるんでしょうか？
    
    また、同じネタで批判を受けてる [srad.jp]のも確かですね。
    先のやり取りを見る限りではIEのバグであると言いうのは無理があるように思います。
    
    ＃正直、相手の意見を「所詮ACだから」と黙殺するのは不快です
    
    シェア
    
    親コメント
  - Re:IEがいい。 (スコア:1)
    
    by vnn (28520) on 2005年09月12日 21時01分 (#797851)
    
    それはIEではなく特定のActiveXの脆弱性です。
    そうではないと言うのであればそれを証明しなさい。
    
    さあ、どうぞ。私はACではありませんよ。
    
    # お前は次に[どうせACと同じだろ]という
    
    シェア
    
    親コメント
    - Re:IEがいい。 (スコア:2)
      
      by vn (10720) on 2005年09月12日 22時08分 (#797878) 日記
      
      すごい。これが vnn 氏の最初のコメントですか。
      ちょっと大物になったみたいな、正直なところ悪くない気分です。
      
      冗談はさておき、その脆弱な ActiveX プラグインを無警告で
      インストールし実行してしまう可能性があるということは、
      IE の脆弱性でもあると言わねばなりません。
      そういう視点で、secunia.com はこれを IE の脆弱性と
      判断しているようです。もし不適切な分類だとすれば、
      Microsoft からさぞや猛烈な抗議を受けていることでしょう。
      
      シェア
      
      親コメント
      - Re:IEがいい。 (スコア:1)
        
        by Zade (7722) on 2005年09月13日 12時03分 (#798304)
        
        MSによって、正しく電子署名されているプラグインを無警告で実行する事自体は、別段問題ではないと思います。
        設定如何で警告を出すようにすることもできますし（IE6のデフォルトでは警告が出るようになっていたと記憶しています）
        無効にする事もできます。
        
        問題は、そのインストールされるActiveXがアレだという点で
        Fixするのであれば、そのActiveXプラグインのバグのほうでしょう。
        やはりIEの脆弱性というには、いささか無理があるように思えます。
        
        あと関係ありませんが、わざわざ「スコア+1のボーナスを使わない」を外して投稿しておられるようですが
        よほど、ご自分の投稿内容に自信がおありのようですね。
        私とは異なる価値観のようですが。
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:2)
        
        by vn (10720) on 2005年09月13日 15時44分 (#798426) 日記
        
        問題は、そのインストールされるActiveXがアレだという点で
        Fixするのであれば、そのActiveXプラグインのバグのほうでしょう。
        やはりIEの脆弱性というには、いささか無理があるように思えます。
        ActiveX プラグインを改修すること自体は非常に簡単ですが、
        脆弱な ActiveX プラグインを回収することは非常に困難です。
        なにか良い考えがありますか?
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:1)
        
        by Zade (7722) on 2005年09月13日 16時41分 (#798455)
        
        話を逸らされているように思えますが…？
        
        ある一つの、ActiveXプラグインの脆弱性を挙げて、それが改修されていないからと言って
        IE自体に脆弱性があると結論付けるのは、無理があるのではないですか？
        と言っているのです。
        
        勿論、該当のActiveXプラグインについては、早急に修正する必要があります。
        2年間も放置するとはもってのほかです。この点はMSは責められてしかるべきでしょう。
        
        --
        一応、この件についても私見を述べさせて戴きます
        
        > 脆弱な ActiveX プラグインを回収することは非常に困難です。
        > なにか良い考えがありますか?
        
        Windowsには「Windows Update」という仕組みがあり
        ActiveXプラグインにバグがあったとしても、修正版を配布することが可能です。
        尤も、ユーザーに対してきちんとUpdateを行うように啓蒙する責任は、MSにあると思います。
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:2)
        
        by vn (10720) on 2005年09月13日 18時58分 (#798531) 日記
        
        「ActiveX プラグインを回収する」ということの意味を甘く考えていませんか?
        この場合、善意のユーザの手元から脆弱なファイルを消去するだけでは
        全然不十分なのです。
        
        悪意があって、ActiveX の脆弱なバージョン(しかも Microsoft の署名付き) を
        故意にばらまこうとしている連中の手から、データを奪い取る必要があります。
        もともと脆弱な ActiveX プラグインは、Visual Studio の過去のバージョンとともに
        無数に配布されてしまったものなのです。
        
        これがどんなに難しいことなのか、ご想像いただけるでしょうか?
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:2)
        
        by vn (10720) on 2005年09月14日 12時23分 (#798881) 日記
        
        バージョンって言葉はご存知ですか?
        意外かもしれませんが、ActiveXにもあるんですよ、バージョンってものが。
        あわれな IE ユーザが悪意あるウェブサイトにアクセスし、
        脆弱な ActiveX プラグインを (恐らく Microsoft の署名を信じて)
        インストールし、今にも実行しようとしたその刹那、どこからともなく
        あなたが現れて安全なバージョンで上書きしてくれる、という意味ですか?
        
        そりゃ尋常じゃないサポートレベルですねぇ。
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:1)
        
        by vnn (28520) on 2005年09月15日 15時36分 (#799455)
        
        そんな事は知ったこっちゃありませんが、このActiveXが起こす問題は、IEの脆弱性なんですか？
        IEを直したら、他のプログラムも直せちゃうんですか？
        
        すごいんですねIEって。
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:2)
        
        by vn (10720) on 2005年09月15日 19時37分 (#799587) 日記
        
        紛れもなく、IE の脆弱性です。
        
        この脆弱な IE をどうやって直せば良いか?
        ひとつの考え方としては、ActiveX プラグインを読み込んだときに
        バカみたいにただ実行するのではなく、実行に先立ってバッファ
        オーバランを引き起こす可能性があるかどうかをチェックする機能を
        組み込む、ということが考えられます。
        Microsoft に限らず、どこのベンダであろうと、欠陥のある ActiveX
        プラグインに電子署名して一般配布してしまう、という失態を繰り返す
        可能性は否定できません。
        従って、たまたま発覚しているこのプラグインだけに対処するのでは
        全然不十分です。
        まず欠陥の有無をチェックして、それから仮想的な安全な環境
        (サンドボックスといいます)で実行するのが、まともな設計というものです。
        もし Microsoft がこのような修正を実行すれば、Sun Microsystems の
        10年前の技術水準にようやく追いつく、ということになります。
        しかし、過ちを改めるのに遅すぎる、ということはないと考えます。
        IE ユーザというものが絶滅しない限り、たとえあと10年かかるとしても
        直すべきでしょう。
        
        シェア
        
        親コメント
        
        Re:IEがいい。 (スコア:1)
        
        by vnn (28520) on 2005年09月16日 21時45分 (#800264)
        
        > まず欠陥の有無をチェックして、それから仮想的な安全な環境
        > (サンドボックスといいます)で実行するのが、まともな設計というものです。
        
        あなたの使っているソフトでそれを実行しているものをすべて挙げて下さい。
        そのうえで、あなたが使っているソフトをすべて挙げてください。
        そしたら、あなたが使っているソフトのうち、それを実行していないソフトのリストが作れますね。
        
        そこ全てに同じ事を言ってあげて下さい。
        
        ろくなチェックもせず、脆弱なIEにすら存在している署名のチェックもしないでExtensionを実行するFirefoxなんか言語道断ですねえ。お願いしますね。
        実行されるソフトのチェックとサンドボックスでの実行を行っているOSを挙げてみて下さい。それをやってないOSは全て脆弱ですね。IEと同レベルで。WindowsもMacもSolarisもLinuxも*BSDもやってなかったと思うんで、お願いしますね。
        
        シェア
        
        親コメント
  - - Re:IEがいい。 (スコア:2)
      
      by vn (10720) on 2005年09月12日 17時36分 (#797805) 日記
      
      Anonymous Coward には他人のコメントを批判する資格がないと思ってるんだったら、
      我ながら卓見ですな。
      とりわけ #797739 に適用できます。
      
      しょうもない AC の悪口雑言など引き合いに出されましてもねえ。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Firefox にバッファオーバーフローによる新たな脆弱性 More ログイン

即刻公開！VSパッチができるまでは…… (スコア:5, 興味深い)

Re:即刻公開！VSパッチができるまでは…… (スコア:2, おもしろおかしい)

手動での回避策 (スコア:5, 参考になる)

Re:手動での回避策 (スコア:3, 参考になる)

Re:手動での回避策 (スコア:1)

Re:手動での回避策 (スコア:1, 参考になる)

Re:手動での回避策 (スコア:1)

Re:手動での回避策 (スコア:2, 興味深い)

Re:手動での回避策 (スコア:2, おもしろおかしい)

Re:手動での回避策 (スコア:1)

aboutハンドラ (スコア:1, 参考になる)

Re:手動での回避策 (スコア:1, 興味深い)

なんとも単純な (スコア:4, 参考になる)

Re:なんとも単純な (スコア:1)

Re:なんとも単純な (スコア:5, 参考になる)

Re:なんとも単純な (スコア:1)

一般論 (スコア:2, すばらしい洞察)

Re:一般論 (スコア:1, すばらしい洞察)

Re:一般論 (スコア:1)

Re:一般論 (スコア:1)

パッチのアップデート (スコア:2, 興味深い)

Re:パッチのアップデート (スコア:3, おもしろおかしい)

とりあえず (スコア:1)

Fedora Coreアップデート (スコア:1, 参考になる)

脆弱性ってどうやって見つけるのか (スコア:1)

Re:脆弱性ってどうやって見つけるのか (スコア:1)

Re:脆弱性ってどうやって見つけるのか (スコア:1)

Re:こんなことなら (スコア:2, すばらしい洞察)

Re:こんなことなら (スコア:1)

Re:こんなことなら (スコア:1)

Re:こんなことなら (スコア:1, 興味深い)

Re:こんなことなら (スコア:1)

Re:こんなことなら (スコア:1)

Re:忘れ物をお届けにあがりました (スコア:1, すばらしい洞察)

Re:忘れ物をお届けにあがりました (スコア:1)

Re:忘れ物をお届けにあがりました (スコア:1)

Re:IEがいい。 (スコア:1, 参考になる)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:2)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:2)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:2)

Re:IEがいい。 (スコア:2)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:2)

Re:IEがいい。 (スコア:1)

Re:IEがいい。 (スコア:2)