FirefoxにJavaScript処理に関する 0-day の脆弱性 183
ストーリー by yoosee
さてどうしたものか→人騒がせな… 部門より
さてどうしたものか→人騒がせな… 部門より
あるAnonymous Coward曰く、"本家で記事になってますが、Firefox に JavaScript の取り扱いについて深刻なセキュリティホールがあるそうです(CNET Japanの記事)。9月30日のToorCon ハッカーカンファレンスのプレゼンテーション での Mischa Spiegelmock 氏ならびに Andrew Wbeelsoi 氏のコメントによると、 攻撃者は対象クライアントのFirefoxに対し、悪意ある JavaScript コードを含む Web Page へ誘導することで、コンピュータを乗っ取ることができるとのこと。現在のところ patch などは無い 0-day の脆弱性のようです。"
(10月4日追記) CNET Japan の続報 によると、この脆弱性で コンピュータを乗っ取ることは出来ない とのこと。
この脆弱性を発表した Mischa Spiegelmock 氏が「このコードでできたのは、Firefoxをクラッシュさせることと、システム資源を消費しつくすことだけだ。これで誰かのコンピュータを乗っ取り、任意のコードを実行するには至っていない」事を告白したそうだ。
関連記事: スラッシュドット ジャパン | 「Firefoxの0-day脆弱性」はガセネタだった?
「0 day」言いたいだけちゃうんかと (スコア:5, すばらしい洞察)
「0 day」とは元々「0 day 攻撃」として使われてきた言葉です。
つまり、未知の脆弱性がいきなり攻撃に実際に使われた場合を指します。
今回のような、攻撃が起きていない段階で脆弱性が公表されたものを 0 day と呼ぶのは誤った用法です。
脆弱性情報公表後3日後に攻撃が発生したものは、3 day 攻撃でしょう。
Re:「0 day」言いたいだけちゃうんかと (スコア:2, 興味深い)
が本当だとすると、
本当に「zero-day attack」が行われる(行われている?)可能性も否定はできないんですよね……
Re:「0 day」言いたいだけちゃうんかと (スコア:2, 参考になる)
dayの基準は脆弱性情報の公開日ではなくパッチ(*1)の公開日です。 (パッチ公開日が1日)
パッチよりも先に公開されてしまった脆弱性が「0-day exploit」(このタレコみでは「0-dayの脆弱性」)なので、
別段おかしいところは無いと思います。
*1) 正確には、修正された新バージョンなど根本的な解決がなされたもの全般。
オフトピックな意味論なのですが、 (スコア:1)
「脆弱性を発見した当日に、攻撃が行われる」
とゆうニュアンスを感じます。
だから、対策のない脆弱性に対して0dayという言葉を充てると
「パッチが発表されるまで毎日が当日」とでも言うような、
言葉としてのすわりの悪さがあるように思います。
// だからと言って、元ac氏のように、三日後だから
// 3days attackと言うべきだとまで言うのは、
// やや原理主義に走った発想なのでは:)
Re:「0 day」言いたいだけちゃうんかと (スコア:1, 参考になる)
http://en.wikipedia.org/wiki/Zero-Day_Attack [wikipedia.org]
http://e-words.jp/w/E382BCE383ADE38387E382A4E382A2E382BFE38383E382AF.html [e-words.jp]
Re:「0 day」言いたいだけちゃうんかと (スコア:1)
って書いてやれよ。最近リンク先読まない人も多いんだし。
もっともこの用語辞典が正しいかどうかは、私は知らない。
# けど、「この瞬間に攻撃を受けても回避する手段がない」という意味で
# 妥当な説明だとは思う。
そうとすら言えない (スコア:5, すばらしい洞察)
マトモな人によって確認された訳じゃないのだから。
えーと、いかがわしい会合 [toorcon.org]で出てきた証拠のない話が、
日本語訳の過程で "Hackers claim ..." という断り書きが欠落して、
皆さん証明済みの事実のように思い込んで騒いでいるのは滑稽です。
念のために Mozilla のセキュリティ主任が調べてみると言っているので、
近々その結果が出てから、(あるいは本物のエクスプロイトコードが報告されてから)
対応を考えれば宜しいんじゃないでしょうか。
そうは言ってもね (スコア:1)
今回はいかがわしい会合でデモンストレーションをやっちまった
悪意がありそうなhackerさんが発見者ですからね。exploitを
どこかで売り渡しているとも限らないわけで。
>その結果が出てから、(あるいは本物のエクスプロイトコードが
>報告されてから)対応を考えれば宜しいんじゃないでしょうか。
とりあえず対策されるまでは、あやしいサイトをFirefoxでみて
まわるとき、JavaScriptを無効にしておけばいいんじゃないで
しょうか。
モデレータは基本役立たずなの気にしてないよ
Re:そうとすら言えない (スコア:1, すばらしい洞察)
> MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、
> JavaScript関連の脆弱性は事実であるようだと述べ
>「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。」
というように、プレゼンテーションを確認して事実であるとわかってるだけで十分。
さらに第三者が悪用できる情報を公開したことに対しても不快感を示していることから、
真実味が感じられたんでしょう。
セキュリティに関する問題は必要以上に心配しても良いくらいであり、
「まて、嘘かもしれない。あわてるな。証拠が出てから」なんていうのは無責任な発言。
少しでも不安材料があれば「危ないかもしれない、気をつけろ」と言おう。
ToorCon 2006って (スコア:1)
ああ、それでvnさんが「いかがわしい会合」って書いたのか(w
# コピペしてしまった自分がなさけない
モデレータは基本役立たずなの気にしてないよ
Re:そうは言ってもね (スコア:1)
うーんうーん、何かoffice事件を思い出しますね…
# 今回は不正アクセスじゃないから、いいのか
――――――――――― バグは金也("Y"enBug)
Re:ToorCon 2006って (スコア:2)
トップページには、「今夜は**ホテルの411号室でパーティーだよ」
などと書いてあります。すごーく迷惑なことをやりそうな連中、
という感じがするんですけど。
Re:そうとすら言えない (スコア:2, 参考になる)
つまり単なる紙芝居を見せられても、脆弱性が実在するかどうか
検証してみなければ何とも言えないわけです。だから持ち帰って
調査すると言っています。
もしも本当に脆弱性があるとすれば、プレゼンを見た人が悪用で
きるだけの情報を不用意に開示してしまうのは遺憾なことです。
(これは確か Microsoft の常套句でしたっけ。)
乙>all (スコア:5, 参考になる)
A blog? with Σαιτω - 勧める責任 [hatena.ne.jp]
対処法 (スコア:4, 参考になる)
・怪しいサイトに行かない(今更ですね)
・不要なサイトではJavaScriptを無効にする(NoScript [mozilla.org]とか使うと便利)
・Firefoxを使わない(極論)
今のところできるのは、こんな対策くらいでしょうか。
#スラド見てるような人は大丈夫なんだろうけど、Firefoxだから安全とか盲信してる人はハマるんだろうなぁ。根拠は何?と言いたくなる。
根拠などありません (スコア:3, すばらしい洞察)
根拠がないから盲信というのです。
屍体メモ [windy.cx]
Re:根拠などありません (スコア:2, すばらしい洞察)
傍から見ると根拠になってないだけで。
安全の根拠にならない根拠の例 (スコア:4, おもしろおかしい)
『IEじゃないから』
『詳しい人が使っているから』
『詳しい人に勧められたから』
『詳しい人が安全だと言っていたから』
『マイナーだから狙われにくい』
『安全そうな気がするから』
『ホームページに安全だと書いてあるから』
道具を過信して身を危険に晒くらいならば、
そんな道具等無い方が良い。とは思うけれど
個人的な趣味で無知な初心者にFirefoxを
勧めていたなぁ。(^^;
Re:安全の根拠にならない根拠の例 (スコア:1)
今皆が議論していたのは、
「Fierfoxが安全だという根拠にならない根拠」
って話だったと思うんだが。
で、アナタは「IEが危険」ってのがそれらにどう絡むって言うのでしょうか?
#そのままだと、既に「根拠ない根拠」の一例と言われている「Firefoxは『IEじゃないから』安全」ってのと一緒なんだけど。
Re:安全の根拠にならない根拠の例 (スコア:1)
つまり、脆弱性から来る絶対的危険性は何ら変わらないんですよ。
ですから、それを持って「安全である根拠」とすると、周りからは「根拠にならない根拠」と言われる訳です。
#安全問題で「他はもっと酷い」などと言うのは、典型的なダメダメ判断です。
Re:対処法 (スコア:2, すばらしい洞察)
怪しいサイトに行かないって言うのはよく言われますが、リンクで誘導される先をURLだけ見て全て危険・安全を判断するってのは実際には難しいと思いますよ?(基本的に常時 JavaScript をoffにするほど神経質な人なら大丈夫かもしれませんが)
例えばタレコミにあるリンク先が既に攻撃用サイトだったらここにいる人たちのどれくらいの人が防げるだろうか?
本家やCNET辺りならURL見て一応悪意はなさそうなサイトに見えますが、「ToorCon ハッカーカンファレンスのプレゼン」と称してリンクされた先は殆どの人が素性を知らないと思われるURLですし。ここに攻撃コードが仕込まれている可能性もあるわけですから。
相手に合わせた高度なソーシャルハッキングを完璧に防ぐことは非常に難しいと思い知らされます。
Re:対処法 (スコア:2)
私の場合、「URLだけ見て全て危険・安全を判断するってのは実際には難しい」ので「基本的に常時 JavaScript をoffに」してたわけですが。というか、「調べる手間、行かない不便」より「JavaScriptをoffにする不便」の方が圧倒的に少ないと思ってますので。
#一昔前なら、いざという時も人間インタプリタで間に合う程度だったし
ただ、最近はajaxとか、本当に便利な機能があったりするのでNoScript入れました。それでわかったのは、javascriptが必要なサイトは10程度、後はbookmarkletとかgreasemonkeyとか、ユーザサイドの物を活用すれば大概いけるって事ですか。
Re:対処法 (スコア:1)
安全だという各省がない限り初めてのURLには行かないというルールを作ったら、インターネットで調べ物なんて怖くてとてもできないですね。
JavaScriptやActiveXオフにすればという意見は、元コメントでそういう人は大丈夫かもしれないと断っているので筋違い。
Firefox使うなっていうのも他のブラウザの未知のぜい弱性を考えたら怖くてどれも使えないし…。
Re:対処法 (スコア:5, おもしろおかしい)
RFC3514 [ipa.go.jp]
◆IZUMI162i6 [mailto]
Re:対処法 (スコア:1, 興味深い)
「やられた時のリスクを下げる」
ってのは有効だと思う。
って事で、新PC導入に伴い、古いPCはWinXpEmbにして、EWFで保護してます。
少々通常のWinと違うところも有りますが、まあ、ほぼXpProとして使えるし。
ってか、EWFってXpでもSPで追加してくれませんかねぇ。
それだけでどれだけ安全性が増すか。
Re:対処法 (スコア:1, 参考になる)
あなたのディスク中のあんな画像やこんな画像が流出するマルウェアの被害は取り返せませんよ?
# 画像を取り返すという意味ではありません。ねんのため
Re:対処法 (スコア:1, すばらしい洞察)
怪しくないサイトだと思って表示させたら悪意のスクリプトが仕掛けられていたということはよくある話。
Firefoxを使うのをやめるか、FirefoxのJavaScriptを無効にするしか手段は無いでしょう。
Re:VMを既定にしようよ (スコア:2, すばらしい洞察)
ってのがこういった問題の本質だと思うのだが.
みんつ
Re:釣り宣言 (スコア:2, 参考になる)
# 親コメントの内容ではなかなかリンク先を読んでもらえないような気がします。んで、補足。
Mozilla Developer News最新記事Update: Possible Vulnerability Reported at Toorcon [mozilla.org]より。件のプレゼンを行ったうちの一人、Mischa Spiegelmockは次のように説明しています。
これを受けてMozillaセキュリティチーフのWindow Snyderは、「彼はそう述べてはいるが、我々は重く受け止めており引き続き調査を進める」としています。
参考:プレゼンの様子(動画) [com.com]。個人的には「薄っぺら!」という印象ですが、セキュリティチーフともなると、そうも言ってられないか。
誰も触れないが… (スコア:2, 参考になる)
MozillaのセキュリティチーフWindow Snyder氏も、「もし脆弱性がJavaScriptバーチャルマシンにあるのならば、素早い修正にはならないだろう」と認めているように、修正は容易ではないようです。
Firefoxを使い続けるのは、自己責任ということになるかもしれません。
人に勧めてFirefoxに乗り換えさせた人は、その人に対する責任を負う覚悟はあったんですよね。
Re:誰も触れないが… (スコア:1, すばらしい洞察)
たくさんの目があればバグは怖くない というのが真であるなら(怖くないの意味があいまいなのは別として)
たくさんの目がソースコードを見ているという前提が怪しいのでは?
実際に該当部分のソースコードを読んだ人は何人いるのでしょう?
仕事で(仕方なくであっても) Internet Explorer や Opera のコードをチェックしている人数と比較してみたい感じがします
Re:誰も触れないが… (スコア:1, 参考になる)
だからさ、この脆弱性のせいで Firefox から IE(もしくは Opera )に乗り換えたとしても、
IE や Opera にも同様の脆弱性があったら、乗り換える意味無いじゃん。
あと、もともと IE や Opera 使ってる人にとっても、
「Firefox はあそこに穴があるらしいけど、俺らは大丈夫なのか?」
ってチェックしとくのは、セキュリティ上有効だと思うけどね。
もちろん、穴が無いってわかれば、それでよい。
万一、同様の穴があったら、やっぱり対処は重要。
# どうして他のブラウザは関わってこないと思うのか、そっちのがマジわからん
これが我等の飯の種(?) (スコア:2, 興味深い)
要するにいつでもMozillaを強請れるネタを持ってるぞ、と?
――――――――――― バグは金也("Y"enBug)
もういくつか (スコア:1, 参考になる)
Re:結局便利な機能はすべてOFF (スコア:2, すばらしい洞察)
Re:結局便利な機能はすべてOFF (スコア:1)
どっちもどっち?
# そんな音したっけ?と思ったけど、WS2003は標準でOFFっぽい
Re:結局便利な機能はすべてOFF (スコア:1, 参考になる)
1. コントロールパネルを開く。
2. 「サウンド、音声、およびオーディオ デバイス」を選択する。
3. 「サウンド設定を変更する」を選択する。
4. 「プログラム イベント」リストボックス内の「エクスプローラ - ナビゲーション開始」を選択する。
5. 「サウンド」プルダウンリスト中の「(なし)」を選択する。
6. OKボタンを押す。
以上でその音は切れます。ただしエクスプローラでフォルダを開くときにも音が鳴らなくなります。
Re:結局便利な機能はすべてOFF (スコア:1, すばらしい洞察)
OS のサウンド設定っていっても、
設定項目はアプリケーション(?)単位で、今言ってるのはその中の
□エクスプローラ
○ナビゲーション開始
ですよね。
Firefox はエクスプローラではないので無視して当然だと思いますけど。
Re:結局便利な機能はすべてOFF (スコア:1)
便利機能をOFFにする操作ひとつとっても、それ用の機能拡張(PrefBarとか)を使えば楽だし。
/* 転んでも泣きません */
Re:結局便利な機能はすべてOFF (スコア:1)
機能が少ないってことは, 特に初心者には使用法を迷いにくいという点でメリットにもなります.
Re:結局便利な機能はすべてOFF (スコア:1)
IE7を使っているとタブって便利だな。と思うようになってしまいました
タスクバーがゴミゴミしないので、目的のアプリに移動しやすいです
(グループ化はアクセスが不便になるので利用していません)
作業領域広くても、最大化で使うので、もしかして意味無し?
# 1600x1200+(1280x1024)x2の無駄領域
Re:結局便利な機能はすべてOFF (スコア:2, すばらしい洞察)
Re:結局便利な機能はすべてOFF (スコア:1, 興味深い)
他のウィンドウへドロップできたら非常に便利なのだが・・・
現状は単なる URL のコピー&再読込なので、
例えば編集中のコメント入力ページはドロップできない。
Re:結局便利な機能はすべてOFF (スコア:1)
を一挙動で作りたいですなぁ。
#調べ物をしている時に「後でここを見直したい」と思う場合があるの
#ですが、いちいち別タブを開いてURLをコピーして描画を待つのは、
#手間と時間の無駄。
今見てる内容を新タブで(オフトピ) (スコア:1)
まぁ、マウスジェスチャで右ボタン保持しながら↓↑する事の方が多いですが。
Firefoxならフォーカスがおかしくなりますが、アドレスバーの移動ボタンをAltキー押しながらクリックしてみてください。
その後もう一度Altキー押さないとフォーカスが変だとかマウス移動量多いとか言われても困りますが(汗)
気になる方はアドレスバークリックorAlt+D等で移動後Alt+Enterで出来ますがぶっちゃけ操作が手間でしょうね。
機能拡張、特にマウスジェスチャ系を導入すればもっと手軽に可能かもしれません。
(が、それがどんな名前の機能拡張なのか存在するかは調べる手間を掛けるほどでやりたい事ではないので調べてません。)
どのタブブラウザも同じですが、直前に戻ってホイールボタンを使うのという手段もありますので特にFirefoxであるならそれで逃げるというのも1つの手かと。
いずれにしても上記の方法はタブのコピーではなく今見ているURLを新規に開くだけなのでPOSTを使って遷移する画面には使えません。
唯一かどうかは不明ですが、IE6でCtrl+Nをすれば同一履歴を持ったウィンドウが複製されるのですが、IE7ではどうなのでしょう?
手元にIE7を入れられる環境がないので確認しようがないですが、もしもIE6互換の挙動で同一内容の新タブが出来るならPOSTで作られる画面でも有る程度コピーされるので非常に便利になりそうです。
# 機能拡張入れるのも手間だしSleipnirで済ませてるしオフトピだしでコメントするのもどうかと思うけどID
Re:結局便利な機能はすべてOFF (スコア:1)
ちゃいますよね。もちろん、手でURLのコピペしてもそうなのですが、
そこを現在のレンダリング結果を引き継ぐようにできないかなと。
#でも、URLを手でコピペするよりはだいぶんましです。ありがとう。
Re:今見てる内容を新タブで(オフトピ) (スコア:1)
ました。
Seamonkeyだと、Alt+[GO]は反応なし、Ctrl+[GO]で別ウィンドウで開く
ですが、それでもだいぶんましな気がします。ありがとう(^^
#やっぱ、今見てるプレビュー画面は無理か。
Re:結局便利な機能はすべてOFF (スコア:1, すばらしい洞察)
Re:結局便利な機能はすべてOFF (スコア:1)
数年前はマウスジェスチャーがあるのがOperaだけだったのでそれを使ってましたが、
Sleipnirが出て以降、広告が出ないからと乗り換えてずっと愛用中。
単にマウスジェスチャーの実装が一番早かったのがSleipnirだったから、というだけの理由ですが、
もしあの時Firefoxが出ていたならば現在の愛用ブラウザは違ったでしょう。
標準でついている機能というのも殆ど全部「今更」のもので乗り換えの後押しになるようなものがなく、
HTMLの表示確認の時以外に使う機会はありません。
魅力的を感じるだけのプラグインを知らないだけなのかもですが。
#現状、プラグインはWebDeveloperしか入れてない。
#Web制作関連で何かいいものをご存知の方いらっしゃいますか?
Re:実は釣りだった? (スコア:3, すばらしい洞察)
昨日の17時頃から何度か紹介されているんだけれど、
200個近いコメントの山に埋もれてしまっているためか
知らないでいる人は多いと思う。(ゆえに元コメントのように
重複して紹介する人も出てくる。)
だからストーリー本文に追記する必要がある、と言ってるんだけどね。