最新のOperaに勝手にファイルをアップロードする穴 43
ストーリー by Oliver
過激歌劇 部門より
過激歌劇 部門より
jbeef曰く、"5月27日付でBUGTRAQに投稿された記事によると、Operaの一部バージョン(6.01~6.02)に、既知のパス名のローカルファイルが警告なしにアップロードされてしまうセキュリティホールがあるとのこと。「アップロード」とは、HTMLに<input type="file">を書くことで実現される機能のこと。ここに欠陥があった。
通常は、
ユーザの意志によるファイル選択を必須とすることでセキュリティが保たれている。IEなどの他のブラウザでは、<input type="file" value="/etc/passwd">というようにVALUE属性で初期値をセットすることは禁止されている。それに対しOperaでは、セットできるのが仕様で、送信時にファイル名を列挙してユーザに確認を求めるようになっている。ところが、GreyMagic Softwareの発見 によると、セットするパス名の最後に「
」(改行文字)を付け加えると、Operaは「ファイル名はセットされていない」と誤解して確認なしに送信してしまうのだという。
この問題は6.0以前には存在しないとのこと。発見者は、5月15日にOperaに連絡したところ、16日に修正したとの連絡を受けたそうだ。そして27日に、この問題が修正された6.03がリリースされたとのこと。"
なぜ告知しないの? (スコア:1, すばらしい洞察)
BAGTRAQを見るかぎり,かなり危険なセキュリティホールに思えるんだけど,なんでオペラソフトウェアはユーザに告知しようとしないの?
迅速にバグを告知してくれない会社の開発するブラウザ.それのどこに信頼性があるというのだろう.
Re:なぜ告知しないの? (スコア:3, すばらしい洞察)
広告スペースを有効に使って欲しい。
Re:なぜ告知しないの? (スコア:0)
Re:なぜ告知しないの? (スコア:0)
Re:なぜ告知しないの? (スコア:0)
Re:なぜ告知しないの? (スコア:1)
もしかしたらですが、PC版だけでなく組込製品向けに出している物でも
共通したバグが出ているのかもしれません。
それで、バグの内容を公開してしまうことに支障があるとか?
AMIGA4000T(60/50)使い
Re:なぜ告知しないの? (スコア:0)
だとすると確かに、何も考えずに公開するのは支障がありますね。
# でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな
Re:なぜ告知しないの? (スコア:2, 参考になる)
まあそうでなくても、QNXなりSymbian OSなりに移植されてるそうですから、会社によってはOperaの名前を表に出さずに使っていそうな気はします。
># でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな
いつの時点をもって「過渡的でない」とするのかが難しいでしょう。
そうでなければ、いつまでたっても組み込みブラウザがリリースできません。
Re:なぜ告知しないの? (スコア:0)
携帯とかだったらやばいでしょ、という意味で。
Re:なぜ告知しないの? (スコア:2, おもしろおかしい)
過渡期どころではないブラウザを組み込んだDoCoMoは
チャレンジャーってことでいいですか?
Re:なぜ告知しないの? (スコア:0)
Re:なぜ告知しないの? (スコア:0)
Re:なぜ告知しないの? (スコア:0)
こんな感じならIEのほうが全然マシとさえ思えてしまいます。
まあ、IE/MSも叩かれてマシになったというのもありますが…。
だからちゃんと叩かないとダメなんでしょうかね。
開発陣と経営陣の温度差? (スコア:2, 興味深い)
> だからちゃんと叩かないとダメなんでしょうかね。
Opera は「早くて安全なブラウザ」が売り文句だった訳ですし、
なかなか大きく書きづらいのでしょうね。
体面を気にしていると、もっと大きなものを失うということに
気づいていないわけでもないとは思うのですが……。
自分はずっとOperaを使っていますが、
設計思想も基本的には安全側に倒れていますし、
#今回のはアレでしたけど(苦笑)
バグフィックスの対応も早いので、
個人的にはとても気に入っています。
レジストリにはほとんど設定を書き出さない、
市井の自作ソフトのような作りも扱いやすいですし。
あとはセキュリティホールに対する告知さえ
しっかりしてくれればいいんですが……。
開発陣と経営陣の思想の差とかあるんでしょうかねぇ・・・。
Re:なぜ告知しないの? (スコア:0)
英語版だけfixしたって、ねえ。昔のNetscapeを彷彿とさせるなあ。
アップデート (スコア:2, 参考になる)
ただ、インストール後、初回起動時に「言語ファイルのアップデート」という画面が表示され、「言語ファイルのアップデートが必要です。」と言われましたが、怖いので...
○新しい言語ファイルをダウンロードする
○英語でOperaを再起動する
●既存の言語ファイルを使用する
「既存の言語ファイル」のままにしておいてます。
「6.02 の日本語言語ファイルって、まだ存在していないので、6.01 のをそのまま使う事に... [g-7.ne.jp]」と言う話もあるので、それでいいのかもしれません。
Re:アップデート (スコア:3, 参考になる)
新しいバージョンを上書きインストールしてかまいません。
起動したときにでる「言語ファイルのアップデート」では
「既存の言語ファイルを使用する」で大丈夫です。
言語設定をはじめとして、各種設定はちゃんと引き継がれます。
ただし、search.ini (検索フォームの設定ファイル)だけは
英語版で上書きされてしまいますので、
必要な方はバックアップをとっておいてください。
Re:アップデート (スコア:1)
動作上、上書きでも問題はないんですが、「プログラムの追加と削除」から旧バージョンが消えないですよね・・・ 気がつくと6.01, 6.02, 6.03 と 3 つ並んでいるし・・・
Re:(プログラムの追加と削除の件) (スコア:0)
ご存知かも知れませんが、Inasoft さん [highway.ne.jp]のところで開発されている「いじくるツール」というフリーウェアで例の要らない項目を削除することができます。
Windows XP へも対応しています。
Re:(プログラムの追加と削除の件) (スコア:0)
Re:アップデート (スコア:1)
古いバージョンが残ってしまいますね(汗)
OJUGのMoonstoneさんとこ [moonstone.jp]に設定と日本語リソースを
残したままインストール情報だけ消す方法が載っていますので
参考になさってください。
要は、旧バージョンのアンインストーラを起動して、
カスタムアンインストールを選択し、
レジストリ関係はすべて削除し、ファイル関係はすべて残せば
大丈夫です。
Re:アップデート (スコア:1)
Re:アップデート (スコア:0)
なんつーか (スコア:1, すばらしい洞察)
「IEより安全」と言ってた人は何を根拠に「安全」としていたのだろうか?
古臭いというか古典的というか、よそのソフトで過去のものとなってるような穴もちらほら見えているっていうのは、単にいままで誰も積極的に調べてくれなかったから穴が発覚してなかった、って事だろうか?
俺はヘタレだからMozillaにしとくよ。
Mozillaも無条件に安全ではない (スコア:2, 参考になる)
Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。
僕自身はプログラミングが出来ないので断言はできないですが。
セキュリティーホールの問題が即修正される、という点が大切だと思う。
凡ミスは誰でもやらかすし、集団で作業していると、個人では「ウソッ??」と思うようなとんでもない事が起こっているということが有ると思うんで。
#あとは、現時点ではシェアが少ないから
#わざわざ狙う人が居ないので安全・・・というのも有るねぇ。
#説得力が有るような無いような(苦笑)。
#Mozillaはともかく、日本の現状ではOperaはNetscapeよりもシェアが少ないようだし。
以前/.jpでトピックになったN6/Mozillaのセキュリティホールはこの二つ。
Netscape/MozillaにCookie漏洩のセキュリティホール [srad.jp]
Netscape/Mozillaにローカルファイル読みとりの脆弱性 [srad.jp]
#後者では僕の極めて醜いコメントの数々が有るんで少々恥ずかしいのですが・・・ね。
gy0
Re:Mozillaも無条件に安全ではない (スコア:0)
>Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。
あー、消去法でMozillaって事ね。
Mozillaだと、どうしても気になるならナイトリ落とせばいいし。
NSだと、IEと違ってセキュリティfixでバージョン番号上げるから解りやすいし。
Re:なんつーか (スコア:1, すばらしい洞察)
せいぜいそんなところ。
Re:なんつーか (スコア:0)
Re:なんつーか (スコア:0)
接続しないことでしょう。
w3mもシェアが少ないので安全そうですね。
Re:なんつーか (スコア:2, 参考になる)
こんなの [securityfocus.com]もあったんで盲信すると痛い目に遭うかも。何であれ、無条件に安全な実装なんてあり得ないですよ。結局、セキュリティなんて運用がともなって初めて成立するものなんだから。
Re:なんつーか (スコア:0)
安全の基準 (スコア:1, おもしろおかしい)
Re:安全の基準 (スコア:0)
Re:なんつーか (スコア:1)
使いやすさですね。
「IEより安全」とは思ってませんが、
「IEが安全」とも「Mozillaが安全」とも思ってません
ので・・・もちろん「operaが安全」とも思ってません
安全かどうかはユーザーの使い方次第でしょ
taka4
Re:なんつーか (スコア:0)
セキュリティソフトとか使えばいいわけですし。
私もOperaは使いやすいから使っているだけで、安全か否かで使うことを決めたわけではありません。
IE6も使っていますが、異常なほどのバグの多さ
Re:なんつーか (スコア:1)
#でも、再度立ち上げたら直前の状態に戻ってくれるのはいい。
taka4
Re:なんつーか (スコア:1)
IEやら何やらのMSのアプリで何がイヤって、周りに迷惑をかけて死ぬ場合が多い事ですね。
Re:なんつーか (スコア:0)
特別なポートを使って通信するトロイとかスパイウェアなら
そのポートをパーソナルなファイアウィールでふさぐとか
考えられますけど、今回の Opera の問題はごく普通の
HTML for

というと (スコア:1)
まさかCR(
)でも起きるなんて事は無いよね.
やっとこさっとこ (スコア:1)
ま、やっとこさっとこ眼中外から評価されるレベルになったって事で。
これからが大変だぁね。頑張って欲しいもんだ。
日本語版6.03 (スコア:1)
Re:日本語版6.03 (スコア:1)
と思ったら5/30にリリースされてたんですが、それでもアナウンス無し…
ちゃんとお金払って使ってるのに、日本の販売元はやる気あるんだろうか?
# 爆言のち漏電中… :D
Re:日本語版6.03 (スコア:1)
ライセンス登録変更 [transware.co.jp]で自分のアカウントの状態確認した方がいいかも。
#報告した人間には別送するのが常識、ではあるが。
#それを問うているのであれば、ごめんなさい。