この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。
Highly Critical (4 of 5) Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure.
Such vulnerabilities can exist in services like FTP, HTTP, and SMTP or in client systems like email programs or browsers.
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
自動更新に任せられない (スコア:2)
自動更新にお任せ、で済ませたいのですが、 Windows で一般ユーザーで使っていると自動更新が効きません (Bug 318855 [mozilla.org])。更新があったことを通知すらしてくれません (Bug 407875 [mozilla.org])。
その上、手元の Windows Vista 環境ではなぜか管理者ユーザーでログオンして Firefox を起動し、自動更新で更新させると、 Firefox 再起動後に「Firefox Software Update は動作を停止しました」と表示されて [goo.ne.jp] しまいます [atwiki.jp]。再度起動するとバージョン表示は上がっているのですが、本当に更新されているかどうかがわからず、怖くて使えません。結局、 Firefox を再インストール。 3.0.6 から 3.0.7 に更新したときも同じでした。誰か詳細を知っていたら教えてください。
Re: (スコア:0)
> 管理者ユーザーでログオンして
ログオンする必要はありません。Firefoxを「管理者として実行」すれば更新できるようになります。私の環境では「Firefox Software Update は動作を停止しました」という現象も発生しません。
とはいえWindowsの自動更新は制限ユーザーでも全く問題なくかかるので、見習ってほしいところです。
Re:自動更新に任せられない (スコア:2)
情報ありがとうございます。次の機会に試してみようと思います。覚えていたらですが……。
そうですね。 Windows の自動更新だと管理者パスワードを求められず便利です。そこまで便利でなくてもいいから、実際に更新する場面で一度管理者パスワードを入力するだけで済むようになると良いと思います。まあ、素人考えなので実際にはいろいろ難しいのでしょうけれど。
Re: (スコア:0)
>そこまで便利でなくてもいいから、実際に更新する場面で一度管理者パスワードを入力するだけで済むようになると良いと思います。
>まあ、素人考えなので実際にはいろいろ難しいのでしょうけれど。
自分の持つ権限を確認すれば不可能ではないですね。
プロセスをユーザーが入力した別の権限で起動はWindows標準APIで可能ですので事前検証コストをサボってるだけかと。
.msi/.msp配布にすればMS標準のインストーラーシステムが権限等を適切に処理してくれるようになりますが、当分無いでしょうね・・・
Re:自動更新に任せられない (スコア:2, 興味深い)
> プロセスをユーザーが入力した別の権限で起動はWindows標準APIで可能ですので
別権限で起動するだけならおっしゃるとおり簡単なのですが、問題は標準ユーザーが管理者権限を持ったユーザーのパスワードを知っているとは限らないことです。とくに企業に配備された環境とか。日本でFirefoxが企業に配備されているのは考えにくいかもしれませんが、海外ではけっこうあるようです。あとFirefoxの場合Windows以外の環境でどうするかの考慮も必要です。
詳細はBugzilla [mozilla.org]参照。
> .msi/.msp配布にすれば
こちらもバグがありますが [mozilla.org]ずっと放置中ですね…。
Re:自動更新に任せられない (スコア:2)
Windowsの自動更新は裏でサービスプロセスが動いているので実現できるわけで、Firefoxでそれができるかというと賛否ありますよね。
Re: (スコア:0)
ウイルスチェッカー系は独自に色々やってますが。
(一般アプリでもその手のサービスを入れてるのはそれなりにある。Googleもやってる)
Re:自動更新に任せられない (スコア:2)
探してみたら、挙がっていました [mozilla.org]。ただ、この Bug 481815 が投稿されたのはわずか 1 か月前です。考えてみるともっと前から言われていてもおかしくないのに、これしか見つからなかったのは、探し方が悪いせいかもしれません。
Bugzilla へのコメント投稿の際に #1541299 の内容を参考にしました。ありがとうございます。
たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
タレコミより
なぜそんなに「深刻」を強調したいのか分かりませんね。
XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]がmilw0rm.orgに掲載されたのが3月25日、Bugzilla(Bug 485217)をみると、同日にMacやLinux環境でクラッシュ報告が挙がっていますね。上で説明されているとおりの手順を経て、比較的短期間に修正パッチがリリースされたと。
もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [srad.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。
外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの(こっちはパッチが出ているかどうかは知らないけどね)。まあいずれにせよこれらの脆弱性を利用した攻撃がまだ知られていないところをみれば、このストーリーを読んだついでにアップデートするのが最善だとしても、Firefox 3.0.7に『深刻』さを強調する評価を下すのはどうかと思うな。
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:3, すばらしい洞察)
脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。
タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳が違いますが、些細な差でしょう。
なお、 Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は
ということであって、脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。
Re:たしかに重大な脆弱性ですが (スコア:1, フレームのもと)
そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
実は Secunia Advisory と同じ考え方でして、今回修正されたMozilla Firefox Two Vulnerabilities [secunia.com]について、Secunia は Highly critical(Critical Level 4 of 5) [secunia.com] としています。
では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2)
masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。
他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。
Re: (スコア:0)
Critical Level 4 of 5から上は全部深刻と呼んでいいんじゃね?
ゼロデイアタックが恒常化する前から深刻という表現は存在してたし。
やっぱり噛み付く理由がわからんなー。
Re: (スコア:0)
だから、攻撃が行われているかいないかではないのだと・・・。
Extremely Critical =非常に深刻
・・・ですけど何か?それをわからない方がどうか、と。
大辞泉より (スコア:0)
まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。
Re: (スコア:0)
3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・
OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。
#私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。
Re:たしかに重大な脆弱性ですが (スコア:2, 興味深い)
いいえ、非常に深刻です。
IEでも発見されている脆弱性だということは、Firefoxの高い安全性の根拠のひとつである
「IEと比べ、シェアが低いため攻撃の対象になりにくい」
をも脅かす非常に恐ろしいセキュリティホールです。
1を聞いて0を知れ!
いつの時代の根拠ですか? (スコア:1, フレームのもと)
>Firefoxの高い安全性の根拠のひとつである
>「IEと比べ、シェアが低いため攻撃の対象になりにくい」
Firefox 1.0 の時はそんな話も聞いたような気がしますが、少なくとも今のページ、次世代ブラウザ Firefox - セキュリティ [mozilla.jp]
にはそんな文言はありませんよ。
>脅かす非常に恐ろしいセキュリティホールです。
この手のセキュリティホールなんぞ過去のソフトウェア製品にはいくつもあったわけですが、今回のセキュリティホールを
悪用したどんな恐ろしい実例が知られていますか。教えていただきたい。
モデレータは基本役立たずなの気にしてないよ
意訳すると (スコア:0)
「穴が開いてたこともあったけど今まで悪用されたことはなかったよ、えっへん。」と言ってるようにしか見えない。
意訳なんか聞いてませんよ (スコア:2)
根拠のある反論をお願いします。
モデレータは基本役立たずなの気にしてないよ
脊髄反射レスカコワルイ (スコア:0)
#1540503 [srad.jp]には目を通した上でコメントを書いているのかな?
当事者が深刻と言い切ってる時点で既に==終了==なんだが、いつまで悪あがきするつもりなんかね?
Re: (スコア:0)
ユーザーが保護されるにはリリースすれば終わりではありませんよ?
展開・導入までのタイムラグがどうしても存在します。
で、リリース前にPoCのコードが公開された状況ってのはちょいとマズい状況かと。
MSはめったにやらないですが、定例外のMicrosoftUpdate相当じゃないですかね。
Re: (スコア:0)
たまたまやられなかっただけ、運がよかったってレベルの話だよね。そんなんで得意気になられてもねえ…
Re:たしかに重大な脆弱性ですが (スコア:1)
3.07でマスターイメージを作成してしまいました。
気付かないふりが大人の対応ということにします。
Re: (スコア:0)
そうですね。
「他も同様のものがあるのにFirefoxだけなぜ強調する」みたいな発言こそ危険と思うべきでしょう。
Firefoxがダントツのシェアになっていない現状なら、独自の脆弱性の危険性を強調されても「なぜ」と言えるけど、他でも通用する問題なら悠長に構えるべきではない。
Re:たしかに重大な脆弱性ですが (スコア:2, 参考になる)
タレコミ文の「深刻」は、Mozillaが「critical」(日本語表記では「深刻/最高」)と表記しているものですね。また、ある脆弱性に対するパッチ適用の重大性は、そのパッチ作成に費やした手間や期間によって、あるいは同種ソフトウェアの動向によって左右されるものではないでしょう。これを強調したところで、特に問題はないと思います。
ところで、今回のアドバイザリについてmasakunさんは誤った理解をしているように思います。
これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。
同アドバイザリには「XUL tree 要素の _moveToEdgeShift メソッドが...」とあります。「SafariやIE8と時を同じくしてベンダーに伝えられた」だけであって、masakunさんの書かれたように「SafariやIE8でも発見されているもの」ではないでしょう。
Re:たしかに重大な脆弱性ですが (スコア:2)
ちょっと書き方が悪かったですね。
今回報告された2件の脆弱性はどちらも外部の研究者によって指摘されたものですが、ご指摘通り「XUL ツリー要素を通じた任意のコード実行」の脆弱性は Safari や IE8 で見つかったものと同一ではありません。Safari や IE8 にもそういう類のものがあるでしょという程度の意味でしかありません。
で、前半部分については、これは問題をどう捉えるかだけの差だと思いますね。
Guido Landi 氏の PoC 公開が 3/25 で、それまでの半年間放ったらかしだったではないかという見方もできますが、逆にその半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実でして。Firefox を擁護するような内容だけに、サブジェクトに「たしかに重大な脆弱性ですが」と書いたんですけど、あんまり意味がなかったみたいですね(苦笑)
モデレータは基本役立たずなの気にしてないよ
Re:たしかに重大な脆弱性ですが (スコア:2, すばらしい洞察)
うーん、「その半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実」ですか。言えるのはせいぜい「攻撃は確認されていない」ぐらいだと思います。
「攻撃は確認されていない」を根拠にソフトウェアベンダーが脆弱性の深刻度を決定することは少ないでしょう。いつまで続くか判らない「未確認」、つまりは不確定要素を評価基準に入れるのは合理的ではありません。すでにそのソフトウェアを使っているユーザーの立場としても「未確認」が安心を保証するわけではないので、攻撃成立条件の低さや攻撃の影響の大きさだけを基準に評価してくれたほうが判断しやすい。
少なくともMozillaはやっていない。Microsoftにしても「この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに [microsoft.com]」としています。攻撃未確認だろうと何だろうと、ベンダー自身が最重要と評価したら素直に最重要と捉えればよい、と思います。
で、今回程度の強調をしたところで、攻撃の存在が確認されている場合にはベンダー自身が広報に努めたり報道で特記されたりというのが通例になっていますし、「狼が来たぞ」的な悪影響があるとは思えません。ソフトウェアの安全性・信頼性は一度や二度の事例だけで判断できるものではなく、Firefoxを不当に貶めているとも思えません。
むしろ「(Bug 460090にまったく触れずに)比較的短期間に修正パッチがリリースされた」、「SafariやIE8でも発見されているもの」、「これらの脆弱性を利用した攻撃がまだ知られていない」(#1539907 [srad.jp])といったことを関連付けることに危険を感じます。私は、masakunさんが「深刻じゃない」と言ってるようだから反論しているのではなくて、一緒に論じるのはおかしいと反論しているのです。「他のブラウザにもよくある類の」という意味で書いたとしても、それを絡めて脆弱性の深刻度を語ってはだめでしょう。
そういう問題じゃなくて (スコア:0)
むしろ元のタレコミ文には深刻としか書かれてなくて情報が全く足りてないのが困る。
せめて脆弱性の要約程度は書くべきだ。
Re: (スコア:0)
タレられたのはFirefoxの更新がいちばん早かったからってだけだし。
Re: (スコア:0)
っていうか、春休みに宿題ってあったっけ?
#最近だとあるのかな・・・・
強調してないし (スコア:0)
全然強調されてないし。
むしろ、このタレコミ自体、本来ならば「セキュリティ」で掲載されるべきところ、
「IT」のトピックとして上げられており、強調どころか曖昧にされてる。
それなのに「深刻」を強調されてるなんてクレームを付けるのは、あまりにも
被害妄想としか言えない。
Re: (スコア:0)
これはひどい (スコア:0)
リリースノート [mozilla.jp]を読めばMozillaプロジェクトがこの脆弱性を“深刻”と表現していることはすぐにわかるでしょう。
本来の3.0.8リリースは4月に予定されていました。
そいつを延期して、脆弱性の修正のみに絞って、さらに当初の発表では3月30日から4月1日の間 [itmedia.co.jp]と公表していた予定を数日前倒しにするくらいの、文字通りの緊急リリースを行いました。
Re: (スコア:0)
タレコんだものですけど、毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノートに対して、皮肉を持った意味で深刻の部分を強調しただけなので、とくに意味は無いです。すみません。角達磨なMozillaの開発者め。
Re: (スコア:0)
タレコミ文で皮肉をこめる人って時々いるけど、そういうのは概して意味すら伝わらないような出来の悪い文章になりがちです。まあ今回は知覚過敏な方が若干一名いらっしゃいましたがw
つーか、
>毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノート
リリースノート見ましたけど、どこに問題があるのかさっぱりわかりませんでした。然るべきリソースにリンク貼ってますし、ごく普通の体裁に見えます。機械的な印象を受けるのは慣習化、テンプレ化してるからでしょう。
英語のリリースノートが読めない? (スコア:1)
日本語環境のFirefox3を利用していますが
http://www.mozilla.com/firefox/3.0.8/releasenotes/ [mozilla.com]
を開こうとしても
http://mozilla.jp/firefox/3.0.8/releasenotes/ [mozilla.jp]
に自動的にとばされてしまいます。どうにからならないものでしょうか?
Re:英語のリリースノートが読めない? (スコア:2, 参考になる)
こちらでどうぞ
http://www.mozilla.com/en-US/firefox/3.0.8/releasenotes/ [mozilla.com]
Re: (スコア:0)
元コメ主です。 感謝!
サードパーティ製ブラウザ (スコア:1)
IE系は、IEをアップデートすればコンポーネントブラウザは修正しなくても、IEのアップデートで修正されるけど
Firefox(Gecko)系ブラウザの場合、ブラウザのコンポーネントはそれぞれのアプリにインストールされるから、
修正もそれぞれで適用しないといけない。
この前記事になってたLunascapeとか、リリースノートが更新されてないけどリリースされるのかな。
そういえば、Thunderbirdもまだだ。
サードパーティ製のセキュリティフィックスに関しては、Gecko/WebKitは不安だね。
Re: (スコア:0)
それは問題になっていて、そのうちXULRunner部分とFirefox部分に分離するんじゃなかったっけ。
Fedora等では既にパッケージとして分離されてます。
# が、XULRunnerが更新される度に他のGecko依存のパッケージがことごとくリビルドされるのはなぜ?
今回公開された脆弱性の影響を受けるのは? (スコア:0)
今回公開された脆弱性の影響を受けるのは、どの系列なんでしょうか?
Firefox 3.0 系列と Firefox 3.1 系列ともに影響を受ける(が、現時点で修正版がリリースされているのは、正式リリースである Firefox 3.0 系列のみ)という解釈で合っていますか?
Re: (スコア:0)
どっちも影響を受ける製品のバージョンが明示されてないけど、後者に関しては注釈がついててFirefox 2、Thunderbird 2、SeaMonkeyには影響なしとある。前者に関しては過去のバージョンが全滅っぽいな。
Re: (スコア:0)
以前はIEに対して同じようなコメントを突けまくっていて、
それらはプラスモデレートされまくっていたんだよね。
意地汚いと言うかなんというか。
Re: (スコア:0)
ガッカリ技術とブラウザ戦争とチョサッケンとMS・SONY叩きを抜いたら、/.Jにいったい何が残るというのか?
Re: (スコア:0)
Re: (スコア:0)
# それが目的ではないだろと。
Re: (スコア:0)
>> /.Jにいったい何が残るというのか?
そういうことはSlashdotに聞け [srad.jp].
#国民投票という手もあるが.
Re: (スコア:0)
オプソ叩き(インタビュー記事/ストールマン含む)があるじゃない!