Firefox 2.0.0.5リリース 37
ストーリー by Acanthopanax
パッチ当てはお早めに 部門より
パッチ当てはお早めに 部門より
Anonymous Coward 曰く、
2007年07月17日付けでFirefox 2.0.0.5がリリースされた。先日ストーリーになったURIハンドラを悪用される脆弱性などについてセキュリティアップデートがなされているということだ(セキュリティアドバイザリ(日本語))。
Anonymous Coward 曰く、
2007年07月17日付けでFirefox 2.0.0.5がリリースされた。先日ストーリーになったURIハンドラを悪用される脆弱性などについてセキュリティアップデートがなされているということだ(セキュリティアドバイザリ(日本語))。
犯人はmoriwaka -- Anonymous Coward
結局どちらが悪かったのでしょう? (スコア:3, 興味深い)
とあって「IEの問題だけど仕方なくこっちで個別に対応したよ」と読めるのですが、URIハンドラを悪用される脆弱性は結局どのソフトウェアの問題だったのでしょうか :-D
モデレータは基本役立たずなの気にしてないよ
Re:結局どちらが悪かったのでしょう? (スコア:3, 参考になる)
今回のFirefoxの修正は、プロトコルが"FirefoxURL"の時だけチェックしているので、他の場合では、同じような脆弱性が引き起こされるはず。例えば、IEと同じ脆弱性があるチャットクライアントがあったとして、そいつが(FirefoxURLの代わりに)HTTPハンドラでFirefoxを呼び出すと、同じ脆弱性で引っかかる。その場合は、そのチャットクライアントの脆弱性とも言えるし、Windowsの脆弱性とも言える。
が、差し当たってそれをFirefox側から直すのは不可能だし、そういう意味でIEの穴もWindowsの穴も塞がっていない。だから、Firefox以外のプロトコルハンドラを登録しているアプリケーションもIEから任意のコマンドライン引数で起動される可能性がある。
Re:結局どちらが悪かったのでしょう? (スコア:1)
Re:結局どちらが悪かったのでしょう? (スコア:2, 参考になる)
呼び出し時の引数 を に変更して、「-osintがある場合-urlの後の引数の数は1個まで」という制限を設けたようです。
Re:結局どちらが悪かったのでしょう? (スコア:0)
Re:結局どちらが悪かったのでしょう? (スコア:4, 参考になる)
Re:結局どちらが悪かったのでしょう? (スコア:0)
CGIに対して偽装したフォームでpostしてセキュ穴開いたら、それはブラウザのせいでもHTTPサーバのせいでもなくCGIの脆弱性なんだから。
Re:結局どちらが悪かったのでしょう? (スコア:0)
それが正しくても、正しくなくても。
alias rm='rm -rf /'
rm hogehoge
で、ディスクがすっ飛んだ時、悪いのはrmじゃないだろう?
もちろん、そういうケースも想定してより安全な動作をするのは好ましいけど
オプションの意味を理解して制御するのは難しい仕事だね
Re:結局どちらが悪かったのでしょう? (スコア:0)
- alias 機能を提供しているのが Windows
- rm の alias を定義したのは Firefox
- rm を実行したのは IE
になっちゃうと思うんだけど、それで OK?
Re:結局どちらが悪かったのでしょう? (スコア:1)
元コメントをあなたの表現に当てはめて解釈するなら以下のような感じかと。
・(脆弱な)alias 機能を提供しているのはIE(Windows)
・rm の alias を定義するのは攻撃者
・rm の(不正な)alias を実行するのもIE(Windows)
・rm が Firefox
で、Firefox は渡された引数を正しく実行しただけなので、悪いのは IE(Windows)ということかと。
Re:結局どちらが悪かったのでしょう? (スコア:3, すばらしい洞察)
> - alias 機能を提供しているのが Windows
> ・(脆弱な)alias 機能を提供しているのはIE(Windows)
括弧内を除けば、同じことを言ってますよね。
> - rm の alias を定義したのは Firefox
> ・rm の alias を定義するのは攻撃者
これは半分は同意するんですが、
[HKEY_CLASSES_ROOT\FirefoxURL_DISABLED\shell\open\command]
@="C:\\PROGRA~1\\MOZILL~1\\FIREFOX.EXE -url \"%1\" -requestPending"
というハンドラを定義したのは Firefox のインストーラな訳で、どちらかというと攻撃者は %1 である hogehoge を渡す側の立場とは考えられませんか?
> - rm を実行したのは IE
> ・rm の(不正な)alias を実行するのもIE(Windows)
これも同じことを言ってますよね。
>・rm が Firefox
これは私は端折りましたが、もちろん同意です。
結局外部からのコマンドの起動を許すべきかと、外部からの信用できない入力文字列を誰が無害化するかという話ですよね?
まず私は URL ハンドラそのものが脆弱だとは思っておらず、定義を行う側が「使いようによっては危険である」ことを認識して、安全に使うように配慮するべきではないかと思っています。微妙なところではありますが...
引数の渡し方としては、例えば SQL の parameterized query のように、フレームワークである Windows/IE が安全に引数を渡す方法を定義する方がいいとは思いますが、それが期待できない状況では最終的に処理する側が実装するべきだと思っています (で、Firefox は実装したわけですが)
Re:結局どちらが悪かったのでしょう? (スコア:1, すばらしい洞察)
だけど、おいしいところいただいちゃった☆
って感じ。
そもそも、Firefoxを導入さえしなければ縁の無い脆弱性なんだけども。
これってFUD?
Re:結局どちらが悪かったのでしょう? (スコア:2, すばらしい洞察)
ここがスラドだったからでしょうね。
思考停止って怖い。
Re:結局どちらが悪かったのでしょう? (スコア:0)
Re:結局どちらが悪かったのでしょう? (スコア:1, おもしろおかしい)
Re:結局どちらが悪かったのでしょう? (スコア:0)
Re:結局どちらが悪かったのでしょう? (スコア:1, おもしろおかしい)
Re:結局どちらが悪かったのでしょう? (スコア:1, すばらしい洞察)
Re:結局どちらが悪かったのでしょう? (スコア:2, 参考になる)
firefoxの持つ脆弱性ではないんで、firefoxを使ってない私でも
影響あります。既に実例が多く紹介されているので知っていて
あえて言っているのでしょうが、FUDというよりも無知なだけでしょう。
無知に対して文句はない。
この穴を放置されてることに対しては文句あるが。
# 某クラッカーサイトに昨日ポストされたネタは
# 結構やばいですねえ。
アップデートしてきました (スコア:1)
http://www.atmarkit.co.jp/news/200707/18/firefox.html
なんてニュースがあるけど、ユーザが増えるとその分悩みも大きくなっていくんでしょうね。
まだ多数の人はIE6使ってるみたいだけど。
タブの高さが気に入らなくて (スコア:0)
教えて!偉い人~!
Re:タブの高さが気に入らなくて (スコア:0)
確かに高いですが、このあたりはテーマ次第ですので、タブが低いテーマを使えばよろしいのでは?
iFox Graphite [mozilla.org] あたりは比較的低めです。
Re:タブの高さが気に入らなくて (スコア:0)
Re:タブの高さが気に入らなくて (スコア:0)
全く立ち上がらない。2台
そんな現状に絶望して、ずっと1.5系列でがんばります。
直ったら、使ってあげてもいい。
Re:タブの高さが気に入らなくて (スコア:1, 参考になる)
メジャーアップグレードはプロファイル作り直し必須。
直ることはないので1.5と心中してください。
Re:タブの高さが気に入らなくて (スコア:0)
別物と考えろ!という視点がぬけおちていました。
惜しい! あと2分! (スコア:0)
MacでFlashが再生されない (スコア:0)
Firefoxトラブルシューティングので直る。http://wiki.mozilla.gr.jp/wiki.cgi?page=Firefox+%A5%C8%A5%E9%A5%D6%A5%... [mozilla.gr.jp]
Flashの再生にQuickTimeを指定するなということらしい。
Re:MacでFlashが再生されない (スコア:0)
挙げ句にPRO版じゃないと毎回買えとうるさく(ry
Explorerで拡張し毎の設定を戻せば治るんだけど、使うだけの人は判らんよね
Re:MacでFlashが再生されない (スコア:0)
いつの話だ?
タイムスリップでもしたか?
Re:MacでFlashが再生されない (スコア:0)
#ブラウザに「Q」って出ただけでバカにされた様な気がする
Re:MacでFlashが再生されない (スコア:0)
# しかも5分くらい待たされた挙句な
Re:MacでFlashが再生されない (スコア:0)
Vistaでアップデート (スコア:0)
・アップデート通知が来たのでそのまま差分ダウンロード
・後で更新をしようと思ったまま忘れてしまい終了(シャットダウン)
・次回起動時(さきほど)アップデータが動き出そうとしてUACが警告を出してきたので許可
・一向に更新が進まないので強制終了
・ここで思い出して「管理者として起動」
・「アップデートに失敗したので完全ダウンロードします」といって完全ダウンロード
・アップデータが動き出すあたりでもう一度UACの警告→許可
でアップデート完了でした。
差分ダウンロードが完了したところで「後で」を選択、終了後、「管理者として起動」すれば差分更新もうまくいったのかもしれませんが、そのあたりは不明です。
Thunderbird (スコア:0)