パスワードを忘れた? アカウント作成
77842 story

Firefox 3.0.8リリース 59

ストーリー by morihide
自動更新にお任せ 部門より

あるAnonymous Coward 曰く、

Mozillaは、3月27日にFirefox 3の最新バージョンであるFirefox 3.0.8をリリースした。詳細はリリースノートを参照。Firefox 3.0.7における2件の深刻なセキュリティ問題が修正された。

修正された脆弱性については、アレたまで付けられていたコメントをどうぞ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 自動更新にお任せ部門より。

    自動更新にお任せ、で済ませたいのですが、 Windows で一般ユーザーで使っていると自動更新が効きません (Bug 318855 [mozilla.org])。更新があったことを通知すらしてくれません (Bug 407875 [mozilla.org])。

    その上、手元の Windows Vista 環境ではなぜか管理者ユーザーでログオンして Firefox を起動し、自動更新で更新させると、 Firefox 再起動後に「Firefox Software Update は動作を停止しました」と表示されて [goo.ne.jp] しまいます [atwiki.jp]。再度起動するとバージョン表示は上がっているのですが、本当に更新されているかどうかがわからず、怖くて使えません。結局、 Firefox を再インストール。 3.0.6 から 3.0.7 に更新したときも同じでした。誰か詳細を知っていたら教えてください。

    • by Anonymous Coward

      > 管理者ユーザーでログオンして
      ログオンする必要はありません。Firefoxを「管理者として実行」すれば更新できるようになります。私の環境では「Firefox Software Update は動作を停止しました」という現象も発生しません。
      とはいえWindowsの自動更新は制限ユーザーでも全く問題なくかかるので、見習ってほしいところです。

      • > 管理者ユーザーでログオンして
        ログオンする必要はありません。Firefoxを「管理者として実行」すれば更新できるようになります。私の環境では「Firefox Software Update は動作を停止しました」という現象も発生しません。

        情報ありがとうございます。次の機会に試してみようと思います。覚えていたらですが……。

        とはいえWindowsの自動更新は制限ユーザーでも全く問題なくかかるので、見習ってほしいところです。

        そうですね。 Windows の自動更新だと管理者パスワードを求められず便利です。そこまで便利でなくてもいいから、実際に更新する場面で一度管理者パスワードを入力するだけで済むようになると良いと思います。まあ、素人考えなので実際にはいろいろ難しいのでしょうけれど。

        親コメント
        • by Anonymous Coward

          >そこまで便利でなくてもいいから、実際に更新する場面で一度管理者パスワードを入力するだけで済むようになると良いと思います。
          >まあ、素人考えなので実際にはいろいろ難しいのでしょうけれど。

          自分の持つ権限を確認すれば不可能ではないですね。
          プロセスをユーザーが入力した別の権限で起動はWindows標準APIで可能ですので事前検証コストをサボってるだけかと。
          .msi/.msp配布にすればMS標準のインストーラーシステムが権限等を適切に処理してくれるようになりますが、当分無いでしょうね・・・

          • by emk (30939) on 2009年03月31日 7時38分 (#1540683) 日記

            > プロセスをユーザーが入力した別の権限で起動はWindows標準APIで可能ですので
            別権限で起動するだけならおっしゃるとおり簡単なのですが、問題は標準ユーザーが管理者権限を持ったユーザーのパスワードを知っているとは限らないことです。とくに企業に配備された環境とか。日本でFirefoxが企業に配備されているのは考えにくいかもしれませんが、海外ではけっこうあるようです。あとFirefoxの場合Windows以外の環境でどうするかの考慮も必要です。
            詳細はBugzilla [mozilla.org]参照。
            > .msi/.msp配布にすれば
            こちらもバグがありますが [mozilla.org]ずっと放置中ですね…。

            親コメント
      • Windowsの自動更新は裏でサービスプロセスが動いているので実現できるわけで、Firefoxでそれができるかというと賛否ありますよね。

        親コメント
        • by Anonymous Coward
          なんでサービスプロセスをひとつ作らないの?という話が挙がるだけかと。
          ウイルスチェッカー系は独自に色々やってますが。
          (一般アプリでもその手のサービスを入れてるのはそれなりにある。Googleもやってる)
          • なんでサービスプロセスをひとつ作らないの?という話が挙がるだけかと。

            探してみたら、挙がっていました [mozilla.org]。ただ、この Bug 481815 が投稿されたのはわずか 1 か月前です。考えてみるともっと前から言われていてもおかしくないのに、これしか見つからなかったのは、探し方が悪いせいかもしれません。

            Bugzilla へのコメント投稿の際に #1541299 の内容を参考にしました。ありがとうございます。

            親コメント
  • by masakun (31656) on 2009年03月29日 19時46分 (#1539907) 日記

    タレコミより

    Firefox 3.0.7における2件の深刻なセキュリティ問題が修正

    なぜそんなに「深刻」を強調したいのか分かりませんね。

    XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]

    この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。

    この脆弱性を利用したMozilla Firefox XSL Parsing Remote Memory Corruption PoC [milw0rm.org]がmilw0rm.orgに掲載されたのが3月25日、Bugzilla(Bug 485217)をみると、同日にMacやLinux環境でクラッシュ報告が挙がっていますね。上で説明されているとおりの手順を経て、比較的短期間に修正パッチがリリースされたと。

    もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [srad.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。

    外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの(こっちはパッチが出ているかどうかは知らないけどね)。まあいずれにせよこれらの脆弱性を利用した攻撃がまだ知られていないところをみれば、このストーリーを読んだついでにアップデートするのが最善だとしても、Firefox 3.0.7に『深刻』さを強調する評価を下すのはどうかと思うな。

    • by fcp (32783) on 2009年03月30日 17時00分 (#1540302) ホームページ 日記

      脆弱性の内容とか発見の経緯とか他のブラウザーとの関係とか、参考になるのですが、 masakun さんの主張に関しては何をおっしゃりたいのかわかりません。「重大」であることは認めるけれど「深刻」と太字で書くのは駄目、というのは、僕には複雑すぎてついていけません。掲載後のストーリーしか見ていないので、もしかしたら掲載前のタレコミは今とはだいぶ違ったのかもしれませんが。

      タレコミ文に「深刻」と書かれているのは、英語で「Impact: Critical」と書かれている [mozilla.org]のをタレコんだ人が日本語で「深刻」と訳したから、というだけだと思います。 Mozilla Japan の訳語は「重要度: 最高」 [mozilla-japan.org]であって、それとは訳が違いますが、些細な差でしょう。

      なお、 Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は

      任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの

      ということであって、脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。

      親コメント
      • by masakun (31656) on 2009年03月30日 18時11分 (#1540353) 日記

        Mozilla Foundation のアドバイザリーでいう Impact: Critical の意味は・・・脆弱性が発見された経緯、発見から修正までにかかった時間、攻撃が既に行われているかどうか等は無関係のようです。

        そのとおりです。しかしわたしが申し上げたかったのは「脆弱性を利用した攻撃がまだ知られていないところ」でして、先日のIEの場合のように 0day 攻撃が広く行われている場合 [srad.jp]が「深刻」だろうと考えたわけです。今回は実証コードの提供はあったもののそのような報告はない(これから攻撃が行われる可能性はあります [srad.jp])ので、「このストーリーを読んだついでにアップデートするのが最善だとしても」「深刻」とは呼べないと書きました。
        実は Secunia Advisory と同じ考え方でして、今回修正されたMozilla Firefox Two Vulnerabilities [secunia.com]について、Secunia は Highly critical(Critical Level 4 of 5) [secunia.com] としています。

        Highly Critical (4 of 5)
        Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure.

        Such vulnerabilities can exist in services like FTP, HTTP, and SMTP or in client systems like email programs or browsers.

        では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。

        Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6
         

        親コメント
        • masakun さんの「深刻」という用語の基準はわかりました。でも、「深刻」という言葉を masakun さんとは異なる基準で使う人がいてもべつにおかしくありませんし、そもそも言葉を使うのに常に何らかの基準がなければならないわけでもありません。タレコミ文はセキュリティーアドバイザリーではないわけですし。

          では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。

          他の人の意見を代弁することはできませんが、僕は、その時その時で言葉を使えば良いと思います。二つの脆弱性を共に「深刻」と表現する人がいたとして、べつに二つの脆弱性が同じ程度の深刻さだと考えているとは限らないでしょう。

          親コメント
        • by Anonymous Coward

          Critical Level 4 of 5から上は全部深刻と呼んでいいんじゃね?
          ゼロデイアタックが恒常化する前から深刻という表現は存在してたし。
          やっぱり噛み付く理由がわからんなー。

        • by Anonymous Coward

          では今回の事例を「深刻」と表現するならば、脆弱性を利用した攻撃が広く行われている場合(Secunia Advisory で呼ぶ Extremely Critical (Critical level 5 of 5))には、皆さんならなんと表現されるのでしょうね。

          だから、攻撃が行われているかいないかではないのだと・・・。
          Extremely Critical =非常に深刻
          ・・・ですけど何か?それをわからない方がどうか、と。

        • by Anonymous Coward

          じゅう‐だい〔ヂユウ‐〕【重大】
          [名・形動]

          • 事柄が普通でなく、大変な結果や影響をもたらすような状態であること。また、そのさま。重要。「事の―を感じる」「―な局面」「―発表」
          • 軽々しく扱えない、大切な事柄であること。また、そのさま。「―な役割」
          • 重く大きいさま。

          しん‐こく【深刻】
          [名・形動]

          • 事態が容易ならないところまできていること。また、そのさま。「住宅問題が―になる」
          • 容易ならない事態と受けとめて、深く思いわずらうこと。また、そのさま。「―に考え込む」「―な表情」
          • 考え・表現などが深いところにまで達していて重々しいこと。また、そのさま。
          • 無慈悲で厳しいこと。むごいこと。また、そのさま。過酷。

          まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。

          • by Anonymous Coward

            まあバイアスかかってるFirefox loverに何言っても無駄なのかもしれないけどさー。

            3.0.6を使ってる(使わざるをえない)ので強がっているのか・・・・
            OS/2 または eComStationを使っているので、大丈夫!って言いたいのかな。

            Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.0.6) Gecko/2009020202 Firefox/3.0.6

            #私だったら脆弱性を含むバージョンを使ってますよ!と宣伝をするようなことはしない。

    • by greentea (17971) on 2009年03月30日 13時23分 (#1540145) 日記

      いいえ、非常に深刻です。
      IEでも発見されている脆弱性だということは、Firefoxの高い安全性の根拠のひとつである
      「IEと比べ、シェアが低いため攻撃の対象になりにくい」
      をも脅かす非常に恐ろしいセキュリティホールです。

      --
      1を聞いて0を知れ!
      親コメント
      • by masakun (31656) on 2009年03月30日 19時02分 (#1540390) 日記

        >Firefoxの高い安全性の根拠のひとつである
        >「IEと比べ、シェアが低いため攻撃の対象になりにくい」
        Firefox 1.0 の時はそんな話も聞いたような気がしますが、少なくとも今のページ、次世代ブラウザ Firefox - セキュリティ [mozilla.jp]
        にはそんな文言はありませんよ。

        >脅かす非常に恐ろしいセキュリティホールです。
        この手のセキュリティホールなんぞ過去のソフトウェア製品にはいくつもあったわけですが、今回のセキュリティホールを
        悪用したどんな恐ろしい実例が知られていますか。教えていただきたい。

        親コメント
        • by Anonymous Coward

          「穴が開いてたこともあったけど今まで悪用されたことはなかったよ、えっへん。」と言ってるようにしか見えない。

          • 根拠のある反論をお願いします。

            親コメント
            • #1540503 [srad.jp]には目を通した上でコメントを書いているのかな?
              当事者が深刻と言い切ってる時点で既に==終了==なんだが、いつまで悪あがきするつもりなんかね?

            • by Anonymous Coward

              ユーザーが保護されるにはリリースすれば終わりではありませんよ?
              展開・導入までのタイムラグがどうしても存在します。

              で、リリース前にPoCのコードが公開された状況ってのはちょいとマズい状況かと。
              MSはめったにやらないですが、定例外のMicrosoftUpdate相当じゃないですかね。

          • by Anonymous Coward

            たまたまやられなかっただけ、運がよかったってレベルの話だよね。そんなんで得意気になられてもねえ…

      • 3.07でマスターイメージを作成してしまいました。
        気付かないふりが大人の対応ということにします。

        親コメント
      • by Anonymous Coward

        そうですね。
        「他も同様のものがあるのにFirefoxだけなぜ強調する」みたいな発言こそ危険と思うべきでしょう。
        Firefoxがダントツのシェアになっていない現状なら、独自の脆弱性の危険性を強調されても「なぜ」と言えるけど、他でも通用する問題なら悠長に構えるべきではない。

    • タレコミ文の「深刻」は、Mozillaが「critical」(日本語表記では「深刻/最高」)と表記しているものですね。また、ある脆弱性に対するパッチ適用の重大性は、そのパッチ作成に費やした手間や期間によって、あるいは同種ソフトウェアの動向によって左右されるものではないでしょう。これを強調したところで、特に問題はないと思います。

      ところで、今回のアドバイザリについてmasakunさんは誤った理解をしているように思います。

      • MFSA 2009-12: XSL トランスフォーメーションの脆弱性 [mozilla-japan.org]
        これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。
      • MFSA 2009-13: XUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]
        同アドバイザリには「XUL tree 要素の _moveToEdgeShift メソッドが...」とあります。「SafariやIE8と時を同じくしてベンダーに伝えられた」だけであって、masakunさんの書かれたように「SafariやIE8でも発見されているもの」ではないでしょう。
      親コメント
      • ちょっと書き方が悪かったですね。

        もう1件はXUL ツリー要素を通じた任意のコード実行 [mozilla-japan.org]。これは詳細は省くとして・・・セキュリティ・カンファレンス「CanSecWest 2009」 [slashdot.jp]で入賞するのに利用された脆弱性で、(脆弱性報告により対価を得る善意のシステム)Zero Day Initiative を通じて報告されたもの。

        外部のセキュリティ研究者により報告された脆弱性ならば「深刻」と感じてしまうものだが、先日の「Safari、侵入コンテストにおいて数秒で“陥落”」ストーリーを見ても分かるように、SafariやIE8でも発見されているもの

        今回報告された2件の脆弱性はどちらも外部の研究者によって指摘されたものですが、ご指摘通り「XUL ツリー要素を通じた任意のコード実行」の脆弱性は Safari や IE8 で見つかったものと同一ではありません。Safari や IE8 にもそういう類のものがあるでしょという程度の意味でしかありません。

        で、前半部分については、これは問題をどう捉えるかだけの差だと思いますね。

        これに相当する最初のバグ、Bug 460090 [mozilla.org]が登録されたのは昨年10月、前方互換処理の問題ではないかと推測されたのは1週間後、パッチはさらに1ヶ月後です。その後見過ごされてしまいGuido Landi氏のPoCで再びクローズアップされたわけで、即応できたとは言えません。

        Guido Landi 氏の PoC 公開が 3/25 で、それまでの半年間放ったらかしだったではないかという見方もできますが、逆にその半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実でして。Firefox を擁護するような内容だけに、サブジェクトに「たしかに重大な脆弱性ですが」と書いたんですけど、あんまり意味がなかったみたいですね(苦笑)

        親コメント
        • by airhead (13423) on 2009年03月31日 13時23分 (#1540915) ホームページ 日記

          うーん、「その半年間 Firefox 3.0.x を攻撃するサイトが出てこなかったのも事実」ですか。言えるのはせいぜい「攻撃は確認されていない」ぐらいだと思います。

          「攻撃は確認されていない」を根拠にソフトウェアベンダーが脆弱性の深刻度を決定することは少ないでしょう。いつまで続くか判らない「未確認」、つまりは不確定要素を評価基準に入れるのは合理的ではありません。すでにそのソフトウェアを使っているユーザーの立場としても「未確認」が安心を保証するわけではないので、攻撃成立条件の低さや攻撃の影響の大きさだけを基準に評価してくれたほうが判断しやすい。

          少なくともMozillaはやっていない。Microsoftにしても「この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに [microsoft.com]」としています。攻撃未確認だろうと何だろうと、ベンダー自身が最重要と評価したら素直に最重要と捉えればよい、と思います。

          で、今回程度の強調をしたところで、攻撃の存在が確認されている場合にはベンダー自身が広報に努めたり報道で特記されたりというのが通例になっていますし、「狼が来たぞ」的な悪影響があるとは思えません。ソフトウェアの安全性・信頼性は一度や二度の事例だけで判断できるものではなく、Firefoxを不当に貶めているとも思えません。

          むしろ「(Bug 460090にまったく触れずに)比較的短期間に修正パッチがリリースされた」、「SafariやIE8でも発見されているもの」、「これらの脆弱性を利用した攻撃がまだ知られていない」(#1539907 [srad.jp])といったことを関連付けることに危険を感じます。私は、masakunさんが「深刻じゃない」と言ってるようだから反論しているのではなくて、一緒に論じるのはおかしいと反論しているのです。「他のブラウザにもよくある類の」という意味で書いたとしても、それを絡めて脆弱性の深刻度を語ってはだめでしょう。

          親コメント
    • むしろ元のタレコミ文には深刻としか書かれてなくて情報が全く足りてないのが困る。
      せめて脆弱性の要約程度は書くべきだ。

    • by Anonymous Coward
      深刻じゃないならセキュリティ系ソフト全部外してFirefox使えばいいよ。
      タレられたのはFirefoxの更新がいちばん早かったからってだけだし。
    • by Anonymous Coward
      > なぜそんなに「深刻」を強調したいのか分かりませんね。

      全然強調されてないし。

      むしろ、このタレコミ自体、本来ならば「セキュリティ」で掲載されるべきところ、
      「IT」のトピックとして上げられており、強調どころか曖昧にされてる。

      それなのに「深刻」を強調されてるなんてクレームを付けるのは、あまりにも
      被害妄想としか言えない。
    • by Anonymous Coward

      リリースノート [mozilla.jp]を読めばMozillaプロジェクトがこの脆弱性を“深刻”と表現していることはすぐにわかるでしょう。

      Firefox 3.0.8 では、Firefox 3.0.7 で見つかった 2 件の深刻なセキュリティ問題が修正されています。

      本来の3.0.8リリースは4月に予定されていました。
      そいつを延期して、脆弱性の修正のみに絞って、さらに当初の発表では3月30日から4月1日の間 [itmedia.co.jp]と公表していた予定を数日前倒しにするくらいの、文字通りの緊急リリースを行いました。

    • by Anonymous Coward

      タレコんだものですけど、毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノートに対して、皮肉を持った意味で深刻の部分を強調しただけなので、とくに意味は無いです。すみません。角達磨なMozillaの開発者め。

      • by Anonymous Coward

        タレコミ文で皮肉をこめる人って時々いるけど、そういうのは概して意味すら伝わらないような出来の悪い文章になりがちです。まあ今回は知覚過敏な方が若干一名いらっしゃいましたがw

        つーか、

        >毎回毎回アップデートするたびに必要性の無い強調をした機械的なリリースノート

        リリースノート見ましたけど、どこに問題があるのかさっぱりわかりませんでした。然るべきリソースにリンク貼ってますし、ごく普通の体裁に見えます。機械的な印象を受けるのは慣習化、テンプレ化してるからでしょう。

  • 日本語環境のFirefox3を利用していますが
    http://www.mozilla.com/firefox/3.0.8/releasenotes/ [mozilla.com]
    を開こうとしても
    http://mozilla.jp/firefox/3.0.8/releasenotes/ [mozilla.jp]
    に自動的にとばされてしまいます。どうにからならないものでしょうか?

  • IE系は、IEをアップデートすればコンポーネントブラウザは修正しなくても、IEのアップデートで修正されるけど
    Firefox(Gecko)系ブラウザの場合、ブラウザのコンポーネントはそれぞれのアプリにインストールされるから、
    修正もそれぞれで適用しないといけない。
    この前記事になってたLunascapeとか、リリースノートが更新されてないけどリリースされるのかな。
    そういえば、Thunderbirdもまだだ。
    サードパーティ製のセキュリティフィックスに関しては、Gecko/WebKitは不安だね。

    • by Anonymous Coward

      Firefox(Gecko)系ブラウザの場合、ブラウザのコンポーネントはそれぞれのアプリにインストールされるから、
      修正もそれぞれで適用しないといけない。

      それは問題になっていて、そのうちXULRunner部分とFirefox部分に分離するんじゃなかったっけ。

      Fedora等では既にパッケージとして分離されてます。
      # が、XULRunnerが更新される度に他のGecko依存のパッケージがことごとくリビルドされるのはなぜ?

  • by Anonymous Coward on 2009年03月30日 21時12分 (#1540485)

    今回公開された脆弱性の影響を受けるのは、どの系列なんでしょうか?

    Firefox 3.0 系列と Firefox 3.1 系列ともに影響を受ける(が、現時点で修正版がリリースされているのは、正式リリースである Firefox 3.0 系列のみ)という解釈で合っていますか?

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...