「Firefoxの0-day脆弱性」はガセネタだった? 50
ストーリー by yoosee
あらららら... 部門より
あらららら... 部門より
昨日掲載された「FirefoxにJavaScript処理に関する 0-day の脆弱性」 という記事だが、CNET Japan の続報 や本家記事 Firefox Zero-Day Code Execution Hoax? によると、実際にはマシンの乗っ取りは出来なかった、とのこと。この脆弱性を公開した Spiegelmock 氏は Mozilla のWebサイトへの投稿の中で、 「このコードでできたのは、Firefoxをクラッシュさせることと、システム資源を消費しつくすことだけだ。これで誰かのコンピュータを乗っ取り、任意のコードを実行するには至っていない」と告白している。同氏は「話を面白くしたいと思って、あのような話をしてしまった」と謝罪しているとのこと。また「30の未修正脆弱性を知っている」としたことについても、もう一人の Wbeelsoi 氏が言っていた事であり Spiegelmock 氏は(真偽を含めて) 詳細を知らないそうだ。
今ある危険性が恐れられた程高くなかっただけですよね (スコア:5, すばらしい洞察)
無いものの、DoS脆弱性はあるわけですよね?
そう考えると、引き続き警戒しておいた方が無難では
ないんでしょうか。
ブラウザをクラッシュさせたり、リソースを
消費し尽くしたりする攻撃はDoS攻撃として
通用します。従って、この手の問題もDoS攻撃可能な
脆弱性として発表されるべきものだと思います。
また、彼等の発表ではこの脆弱性を攻撃することで
DoS攻撃をするところまでしか出来ていませんが、
原因が解明されたわけではないのでここで安全だと
思ってしまってはいけないと思います。
原因のほうは現在調査中ってだけです (スコア:5, 参考になる)
airheadさんのコメント [srad.jp]によると、
あー、またアップデートするんだろうな>Firefox
モデレータは基本役立たずなの気にしてないよ
あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:4, おもしろおかしい)
Re:あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:3, おもしろおかしい)
っていう話ですね。
Re:あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:1, おもしろおかしい)
Re:あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:0)
Re:あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:1)
が,あたりまえですか。 …そうかもしれない?
# 玉 7つ集める方じゃないよん。
"Patriotism is the last refuge of a scoundrel." - Samuel Johnson
Re:あのモジラ の脆弱性が最後の一匹とは思えない。 (スコア:0)
↑いや、ツッコミどころを間違えてますから。
ねぇ山根博士。(>ω<)/
スイマセン、…往年のファンからしたら堪らないサブジェクトなのですよι
やっぱりFirefoxはIEより (スコア:3, おもしろおかしい)
モデレータは基本役立たずなの気にしてないよ
Re:やっぱりFirefoxはIEより (スコア:1, おもしろおかしい)
仕組みからして難しい気もする (スコア:2, 興味深い)
仕組み的にマシンの乗っ取りは難しいんじゃないかと思ってましたが、そういうことでしたか。
Re:仕組みからして難しい気もする (スコア:5, 参考になる)
・chrome( = 窓枠 = Firefoxそのもの)か content( = 窓の中身 = 外部由来のHTMLなど)か
・2つのcontentのデータが同一サイト(と見なせる)かどうか
の2種類あって、前者を破られると「乗っ取り」、後者を破られると「クロスサイトスクリプティング(XSS)」が発生します。テーマ、拡張は基本的に「窓枠」の方の機能を増設するものなので、なんでもあり、なのです。
これとは別に、いわゆるプラグインはFirefoxの実行バイナリと同じファイル権限を持っています。もはやスクリプトでも何でもないので上記の2つと比較は出来ません。
仮にFirefoxが完全無欠だったとしても、これらのアドオン3種は権限が強いので、故意あるいは事故によって、セキュリティに穴を空けてしまう危険があります。うっかり脆弱なテーマを作ってしまうことはないと思いますが、故意に危険なコードを挿入されたテーマ、というのはあり得ます。逆に、サイドバーと検索プラグインはアドオンとは言え、同じ仮定の下ではどうあがいても安全です。
話を元に戻すと、Firefox単体で外部スクリプトにchrome権限を取られた事がないのか、というとあります。一番最近のやつは2006-43 Privilege escalation using addSelectionListener [mozilla.org]ですね。この"Privilege escalation"というのは、まさに外部スクリプトにchrome特権を与えてしまったという意味です。
例えば、window.open("http://www.example.com");というようなありふれたスクリプトを考えてみると、実は内部的に、nsIDOMWindowInternal::open(..)というXPCOMメソッドが呼ばれています。つまり、引数である"http://www.example.com"という外部スクリプトデータは、XPCOMレベルまで到達できるからこそ、新しい窓を開くという大胆な振る舞いが可能なのです。そして、元のwindow.openというコードが安全なのは、window.openからnsIDOMWindowInternal.openに至る経路上における権限の使い方が正常だからなのです。MFSA 2006-43のケースは、addSelectionListenerの引数を巧妙にすれば、外部スクリプトをchrome権限実行環境まで忍び込ませることが可能だった、というわけですね。
#今、この騒ぎのとばっちりで、公開済みのセキュリティバグもも閲覧できないようになっています。
但し、今回の件はこれらの背景とは全く関係のないスタックオーバーフローによるクラッシュです。CNETによると、彼らは「ソースが汚い」と文句を言っていたそうですが、私の推測では、単に彼らがどこでクラッシュしているのかカンファレンスまでに発見出来なかったので、ソースの所為ににしたと言うのが真相だと思います。なまじ分からないものだから、「乗っ取り」まで話が膨らんだのでしょう。実際、JSの仕様はともかく、実装はきれいなもんですし。
何にせよ、ブラクラが一つでも減るというのは喜ばしいことです。報告の経緯は少し異常でしたが、ほとんどのバグはソースを読まない人によって報告されているわけで、ともかく再現性のある環境まで持ってこれたのは彼らのおかげですから。
ActiveXよりはナマで見えない? (スコア:1)
屍体メモ [windy.cx]
Re:ActiveXよりはナマで見えない? (スコア:0)
拡張 (extensions) も, インストール後は ``何でもあり'' ではなかったでしょうか?
識者の解説を求む...
Re:ActiveXよりはナマで見えない? (スコア:2, 参考になる)
#それだけなのでAC
避難訓練 (スコア:2, すばらしい洞察)
要は Firefox だからって盲目的に安心すんなよ、ってことで。
# 一部では非難訓練ぽかったのはおいといて
Re:避難訓練 (スコア:1)
このガセのおかげでNoScriptを入れるとか具体的な行動を起こした人もいるでしょうし。
今回はガセだったようだけど (スコア:2, 参考になる)
今回はガセだったけど、だからといって未知の脆弱性がないとか、今後発見されない保証はどこにもないわけですよね?
なので、普段から、スクリプトやら何やらの機能は必要なとき以外切るとか心がけるべきでしょうね。
絶対的に安全なブラウザなんて存在しない、比較的マシなだけなんだってことは理解しておくべきでしょう。
#特に、人に勧めるときはその辺も含めて説明するべきでしょうね。IEからFirefoxに変えたら絶対安全だと思いこまれるのが一番危ない。
人にFirefoxを勧めるときの説明例 (スコア:1)
ハイハイIEにもありませんね。
>絶対的に安全なブラウザなんて存在しない、比較的マシなだけ
そんなのIEしか知らないようなレベルの人に説明したら、Firefoxを過小評価されるのがオチだと思いますけどね。
それよりむしろネット上にはセキュリティホールを研究して、見に来た人のパソコンを攻撃する悪質なサイトがあるってことは説明しておいたほうがいいと思う。
milw0rm.com [milw0rm.com]みたいなExploitデータベースなんかを見せてもいいかもね。できればMicrosoft Internet Explorer WebViewFolderIcon (setSlice) Exploit (0day) [milw0rm.com]のデモページを体験してみるのもよいかと(w
で、今のところ一番攻撃されやすいブラウザはIE6でね(ここが肝心。笑)。
最近のIEの攻撃例 :-)
Windowsにゼロデイ攻撃を受ける深刻な脆弱性 [srad.jp]
(WMFの欠陥をつくコードは発見される数週間前から4000ドルで取引されていたという)
まだパッチのないIEの脆弱性にゼロデイ攻撃 [srad.jp]
(こっちはタレコみが採用された時点で終息していたらしいけど。笑)
その上でWindowsUpdateの必要性とか、防御のひとつとしてJava Scriptを無効にする方法を説明してあげたらいかがでしょうか。Firefoxなんてcoolなブラウザもあるんだけど、これだとadblockで煩わしい広告バナーもブロックできるから、IEよりはるかに便利だよってね。
ところでFirefoxユーザーが実際にゼロディ攻撃された事例があったら教えてほしいですね。
# Firefox Tシャツを着ているのでID
モデレータは基本役立たずなの気にしてないよ
Re:人にFirefoxを勧めるときの説明例 (スコア:0)
広告見てくれないあなたに提供するリソースは1ビットもありません。
> ところでFirefoxユーザーが実際にゼロディ攻撃された
> 事例があったら教えてほしいですね。
こういう考えをするやつが情報収集能力だけでセキュリティを語るから、こんな酷い状況になってるんだよなあ....
自覚が無いだけに余計たちが悪い。
感情的な批判論ほどつまらないものはない (スコア:0)
はぁーWMFの攻撃とか突っ込みどころ満載なのに、ホントつまんないところで批判終始ですか(w
#1031874のACさんの程度(理解度)が知れますな
# ダイヤルアップだとadblockはほんと便利ですよー
# だけどもうほとんどネットアクセスはNetFront v3.3で済ましてます(w
信者の説明の変革 (スコア:0)
修正数がボロボロでてくると言わなくなる
「Firefoxの脆弱性は危険なのが少ないんだ」
危険なのが複数出てくるといわなくなる
「Firefoxの脆弱整数は多くても、すぐ修正するから安全なんだ」
すぐ修正するというより、修正してから発表してるだけ。
「Firefoxは狙われないからウイルスなんて無いんだ」
マルウェアのターゲットになると言わなくなる
「Firefoxの脆弱性を突いた被害は無いんだ」
実害が出るといわなくなる
「Firefoxのユーザが0-day attack を受けたことは無いんだ」
次第にFirefoxが安全だという主張の理由が
FirefoxがIEより安全、どこに書いてあります?(w (スコア:1)
>少し修正したほうが世のためだと思う。
でもWindowsUpdateをしている限りIEが安全だという人があまりにも多い現状では、Firefoxでそういう勘違いしている人が多少増えたところでたいして世間には影響はないですね(笑)
ちなみに親コメントちゃんと読んでください。IE6は狙われる実績があるとは書きましたが、どこにもFirefoxが安全だなんて書いていませんから。もちろんcoolなブラウザは安全という意味ではないです。
わたしがFirefoxを使っているのは、拡張機能とタブ、そしてマルチプラットフォームでのリリースに惚れているからです。
>IEのほうが安全とは言わないが。
分かってくださっているようでなによりです。
でもわたしWin2KユーザーなんでIE7なんてブラウザは知りません。正式リリースされたかどうかもしりませんし。
モデレータは基本役立たずなの気にしてないよ
仮に出来たとして (スコア:0)
被害としてはバッファーオーバーランの方が被害が大きそうだが
機種依存するだろうし、短いコードで最大の被害を出すなら
OSを利用すべきなので機種依存するだろうし、
結果うまく行かないと思った方がいいですね。
一番はめ易いのはIE、しかも怪しいアングラ系の場所の広告が危ない。
多くの人をはめるには先ず人が集まらないと意味がない。
リスクの高い広告を出せる場所は決まってるので当然やばめの場所が選ばれる。
そして騙しやすく弄れる範囲が大きいブラウザが選ばれる。
#確実にはまるならマイナーでもやる奴はいるでしょうけど
#Firefoxは拡張が売りのブラウザで確実性がないので誰かが気づいてしまう。
Re:仮に出来たとして (スコア:2, すばらしい洞察)
カモはIEを使ってるのが普通なわけで
わざわざ他のブラウザをターゲットに
騙しにくる努力はしないよね。
Re:仮に出来たとして (スコア:0)
シェアが30%越えはじめたら危ないんじゃない?
Re:仮に出来たとして (スコア:0)
火狐を使うと宝くじに当たりました。
火狐を使うと無理なくダイエットができました。
沢山の人が火狐で幸せになっています。
Re:仮に出来たとして (スコア:1, 興味深い)
そのうち特定の環境で使用される割合が多く、
バリバリに弄るユーザーが減ったとき、
Firefox も現実的なターゲットとして頻繁に狙われるということですね。
Mozilla コミュニティはユーザー数を増やすことに躍起だけれど、
ユーザー数が増える=特にカスタマイズもされない Firefox@Win が増える
だとしか思えない。
Re:仮に出来たとして (スコア:2, すばらしい洞察)
>Firefox も現実的なターゲットとして頻繁に狙われるということですね。
これは事実でしょうね。ただ、新規にセキュリティ問題を発見できるブ
ラックハッカーの数は、そんなに多くないと思われますので、Firefox
が新たなターゲットになることで、結果的にIEの安全度が増すかもしれ
ません。
#マイクロソフトさーーん、IEの安全性を確保するためにFirefoxを普及
#させませんか?
##「既存の穴は無くなんねぇーよ。馬鹿」というコメントを予想しつつ。
Re:仮に出来たとして (スコア:2, おもしろおかしい)
Firefox が本格的に狙われるころには
現在 IE が言われているようなことが Firefox に対して言われるようになっていて
「Firefox より安全」を売り文句にする別のブラウザが出現しているだろうから。
Re:仮に出来たとして (スコア:0)
独占のために余計な機能がついているIEと
単なるブラウザのFirefox
余計な機能をくっ付ければ別だが
普及しても脆弱性が増えて行くとも思えませんけど
#個人的にはバグフィックスが終るバージョン2あたりでネタ切れで行き詰まると思いますけど
Re:仮に出来たとして (スコア:0)
定理2:バグの数は使用者の数に応じて発見されやすくなる。
∴ユーザーが増えれば増えるほど,バグは発見されやすくなる。(脆弱性が高まる)
/.J 正しい日本語を使いましょう部隊です (スコア:0)
【誤】鷹 →【正】高
http://dictionary.goo.ne.jp/search.php?MT=%B9%E2&kind=jn&mode=... [goo.ne.jp]
セキュリティの警告も結局 (スコア:0)
Re:セキュリティの警告も結局 (スコア:3, すばらしい洞察)
# 結局、なにがなんでも Firefox を叩きたい人達がフライングしたのではないかと思う。
Re:セキュリティの警告も結局 (スコア:2, すばらしい洞察)
確かにセキュリティホール報告系のサイトもガセネタがかなり多いのは事実なんだけど。
Re:セキュリティの警告も結局 (スコア:2, すばらしい洞察)
FUDに惑わされないために冷静な判断は重要だけど、検証が済んでいない段階では妥当な範囲で安全側に仮定して対応する方が賢明でしょ。JavaScript切るくらい大したことじゃないし。
Re:セキュリティの警告も結局 (スコア:0)
ガセだったのは「乗っ取りが可能」って所の話で。
Re:セキュリティの警告も結局 (スコア:0)
マトモな人が検証するまでは疑うか。
Re:セキュリティの警告も結局 (スコア:0)
結局は、自分がマトモか検証するまでは疑った方がいい。
# なんの話だっけ?
えーと (スコア:0, すばらしい洞察)
「Firefoxをクラッシュさせることと、システム資源を消費しつくすこと」
というものを「脆弱性」と呼ばなくなったんでしょうか?
なんて呼べば良い?
Re:えーと (スコア:1, おもしろおかしい)
Re:えーと (スコア:2, おもしろおかしい)
コンピュータウィルスの名前
FOX DIE
脆弱性の指摘を撤回したという話ではない (スコア:1, フレームのもと)
ブラウザのクラッシュとリソース消費が"脆弱性でない"とはどこにも書いていないわけで。
# これに「すばらしい洞察」がつくのか。すばらしい。
――――――――――― バグは金也("Y"enBug)
Re:脆弱性の指摘を撤回したという話ではない (スコア:1, すばらしい洞察)
しっかり脆弱性がガセネタとなってると思うが。
だから、タイトルへの反論としてならすば洞付けるモデレータが居てもおかしいとは思わんよ。
それよりもこのタイトルを見て脆弱性が無いとはどこにも書いてないとする方が不思議。
Re:脆弱性の指摘を撤回したという話ではない (スコア:0)
Re:脆弱性の指摘を撤回したという話ではない (スコア:1, すばらしい洞察)
「今回はガセだったようだけど」「避難訓練」とか、どう見ても現状では”脆弱性が無かった”とするような書き込みがプラスモデされてますが。
他にもあるでしょ?
それを無視して「誰も書いてない」って・・・。
スレタイ自体もミスリードを誘う書きかただし。
#良い子の皆は、乗っ取られなくとも攻撃が有効なのは確かなのでJavascriptは切ろうね。
Re:えーと (スコア:0)