パスワードを忘れた? アカウント作成
14658 story

Firefoxにクロス・ドメイン脆弱性 20

ストーリー by mhatta
チェックチェック 部門より

yourCat 曰く、

Mozilla系webブラウザーにSame Originポリシー回避できるバグが発見された。これを悪用するとクロス・ドメインでCookieの読み書きなどが可能になる。対象となるのはFirefox 2.0.0.1以前の他、SeaMonkey 1.1以前、Camino 1.0.3以前など (CVE-2007-0981)。
修正されたバージョンが公開されるまでは、修正コードを拾ってくる、JavaScriptを切る、あるいはuser.jsに以下を追加しよう。

user_pref("capability.policy.default.Location.hostname.set", "noAccess");

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ~/Library/Application Support/Firefox/Profiles/default.ecq/prefs.js
    に書き加えれば良い、と思います。
    • by shiten (11861) on 2007年02月17日 12時10分 (#1111511)
      ~/Library/Application Support/Firefox/Profiles/xxxxxxxx.default/prefs.js
      の間違いだと思います。
      (xxxxxxxx はランダムな文字列)

      ただ、ユーザが書き加えるものですから、pref.jsよりuser.jsの方が良いと思います。
      なので、
      ~/Library/Application Support/Firefox/Profiles/xxxxxxxx.default/user.js
      に書き加えることをお勧めします。
      親コメント
      • by Stealth (5277) on 2007年02月17日 12時51分 (#1111528)

        SeaMonkey の場合は Mozilla/Profiles/default/xxxxxxxx.xxx/prefs.js (x 部はランダム) とかですね。

        なお、prefs.js を書き換えるやり方だと prefs.js が読み込まれるのが起動時であることと、終了時に現在設定で上書きされます。user.js に書いた場合は起動時に prefs.js + user.js で設定を読み込んでくれますが、当然ながら起動しなおさないといけません。いずれにせよ、常駐している場合には当然ながら常駐の終了が必要となります。(常駐終了時に prefs.js が保存されます)

        といった辺りが面倒なので、about:config で追加するのが簡単だと思います。

        about:config で capability.* を探しても見つかりませんが、新規項目を文字列型で追加 (名前が capability.policy.default.Location.hostname.set、値が noAccess) すると起動中でも反映されます。about:config の一覧画面には出てきませんが、終了してみると prefs.js へ書き込まれるのがわかるかと思います。

        親コメント
        • ついでに。Mac OS X だけに限らず、OS ごとの基準フォルダから先はどのプラットフォームでも同じ構成のはずです。

          PC UNIX 系なら ~/.firefox とか ~/.mozilla とか。Windows なら Documents and Settings\(ユーザ名)\Application Data (2000/XP/Server 2003) や Users\(ユーザ名)\AppData\Roaming (Vista) とか。

          親コメント
      • by Anonymous Coward on 2007年02月17日 21時47分 (#1111698)
        ~/Library/Application Support/Firefox/Profiles/xxxxxxxx.default/prefs.js
        の間違いだと思います。
        (xxxxxxxx はランダムな文字列)

        分かっている人には改めていう必要ありませんが、パスの中にランダムな文字列を含むのはprofileの位置を第3者に特定されにくくするためのセキュリティ上の措置です。
        ですので、人に教えてはいけません。
        vn氏のように晒してしまった場合はprofileを作り直しましょう。

        親コメント
        • なるほど、参考になります。
          プロファイル作成時のバージョンではランダムな文字列が3文字しかなかったようで、
          すっかり見落としていました。
          注意喚起してくれたモデレータにも感謝します。
          親コメント
          • なるほど、参考になります。
            プロファイル作成時のバージョンではランダムな文字列が3文字しかなかったようで、
            すっかり見落としていました。
            注意喚起してくれたモデレータにも感謝します。
            こういう流れの時は、「ワイルドカードが使えるなら意味ないけどな」って言い返さないと話が終わってしまうじゃないですか。
  • by Anonymous Coward on 2007年02月17日 16時54分 (#1111621)
    自分の環境で試したのですが、
    書きは出来ますが読みは出来ませんでした。
    うちの環境が変なのかな?
  • by Anonymous Coward on 2007年02月17日 19時14分 (#1111659)
    >user.jsに以下を追加しよう。
    >user_pref("capability.policy.default.Location.hostname.set", "noAccess");

    こういうのを他のアプリを使わず単独で容易に設定できるようになるのはいつのことかね?
    • by Anonymous Coward
      そんな貴方に
      つ「chromEdit [mozdev.org]」
    • by Anonymous Coward
      今までどおりパッチが出るまで他のブラウザを使えばいいんじゃない?
      • Re:めんどくせぇな (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2007年02月17日 20時18分 (#1111676)
        そういえば、IEの脆弱性のときには *必ず* といっていいほど付いてる

        ・他のブラウザを使う

        が、付いてませんね。

        これもスラド特有のバイアスでしょうか。
        親コメント
        • by IRCBOT (32650) on 2007年02月18日 23時51分 (#1112143)
          Firefox は IE の代替になりますが、IE は Firefox の代替にはなりませんから。
          拡張性が違いすぎます。

          # と、あえて、フレームの元を…。
          親コメント
          • by Anonymous Coward on 2007年02月19日 10時05分 (#1112316)
            IE7を使うとか、Sleipnirを使うとか、Lunascapeを使うとか、
            Firefoxでわざわざ拡張したのと同じ程度のものはいくらでも
            ありますがね。

            いくつかのネットワーク機器などのWebユーザインターフェースでは
            IEでしか使えないものもあるので、IEはFirefoxの代わりにはなるが、
            FirefoxはIEの代わりにはなれないというのが正しい。
            代わりにはなれないから、普段はFirefoxを使っていても、必要に応じて
            IEを使っているという人は多いですよ。

            親コメント
            • by k12u (31968) on 2007年02月20日 16時24分 (#1113365)
              >IEでしか使えないものもあるので、IEはFirefoxの代わりにはなるが、
              >FirefoxはIEの代わりにはなれないというのが正しい。
              「代わりになる」かどうかは何をもって「代わりになる」とするかに依存する問題。
              俺に言わせりゃ「どちらも互いに代わりにならない」。
              「IE」と「Firefox」を入れ替えても成立する話のように読めます。

              「ネットワーク機器などのWebユーザインターフェース」っての個人的な事情でしょう。
              親コメント
            • IE Tab [impress.co.jp]

              まぁ、使い分けてるのと変わりませんが、あらかじめIEで見たいドメインとかを登録しておけばそのURLにアクセスするときはIEコンポーネントを使ったブラウザのように動作します。
              SSLとか使うときにUIでの確認とかができないんで、銀行とかで認証を使う必要があるときには使いたくないですが。
              --
              ◆IZUMI162i6 [mailto]
              親コメント
        • by Anonymous Coward
          >これもスラド特有のバイアスでしょうか。

          いいえ、貴方のスラドに対するバイアスです。
    • by Anonymous Coward
      about:config の存在を知るのはいつになるかね?
      • by Anonymous Coward
        レジストリエディタを直にいじらせるのと変わらんだろうに。

        いつまで待てば、間違った設定にアラートを出すようになるかね?
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...