最新のOperaに勝手にファイルをアップロードする穴

最新のOperaに勝手にファイルをアップロードする穴 43

ストーリー by Oliver 2002年05月28日 14時38分
過激歌劇部門より

jbeef曰く、"5月27日付でBUGTRAQに投稿された記事によると、Operaの一部バージョン（6.01～6.02）に、既知のパス名のローカルファイルが警告なしにアップロードされてしまうセキュリティホールがあるとのこと。「アップロード」とは、HTMLに＜input type="file"＞を書くことで実現される機能のこと。ここに欠陥があった。
通常は、ユーザの意志によるファイル選択を必須とすることでセキュリティが保たれている。IEなどの他のブラウザでは、＜input type="file" value="/etc/passwd"＞というようにVALUE属性で初期値をセットすることは禁止されている。それに対しOperaでは、セットできるのが仕様で、送信時にファイル名を列挙してユーザに確認を求めるようになっている。ところが、GreyMagic Softwareの発見によると、セットするパス名の最後に「＆#10;」（改行文字）を付け加えると、Operaは「ファイル名はセットされていない」と誤解して確認なしに送信してしまうのだという。
この問題は6.0以前には存在しないとのこと。発見者は、5月15日にOperaに連絡したところ、16日に修正したとの連絡を受けたそうだ。そして27日に、この問題が修正された6.03がリリースされたとのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索43コメント Log In/Create an Account

なぜ告知しないの？ (スコア:1, すばらしい洞察)

by Anonymous Coward on 2002年05月28日 15時05分 (#98913)

BAGTRAQを見るかぎり，かなり危険なセキュリティホールに思えるんだけど，なんでオペラソフトウェアはユーザに告知しようとしないの？
迅速にバグを告知してくれない会社の開発するブラウザ．それのどこに信頼性があるというのだろう．
- Re:なぜ告知しないの？ (スコア:3, すばらしい洞察)
  
  by Anonymous Coward on 2002年05月28日 18時28分 (#99017)
  
  せっかく備わっているのだから
  広告スペースを有効に使って欲しい。
  
  シェア
  
  親コメント
  - Re:なぜ告知しないの？ (スコア:0)
    
    by Anonymous Coward
    
    レジストしたら見えない罠。
    - Re:なぜ告知しないの？ (スコア:0)
      
      by Anonymous Coward
      
      レジストする価値はないと感じている人が少なくないということです。
    - Re:なぜ告知しないの？ (スコア:0)
      
      by Anonymous Coward
      
      レジストしたユーザには個別にアナウンスできるのでは。
- Re:なぜ告知しないの？ (スコア:1)
  
  by RED COMET (3816) on 2002年05月28日 15時46分 (#98943) ホームページ
  
  確かに後から「Ver.アップで直しています」と言うのが多いですね。
  もしかしたらですが、PC版だけでなく組込製品向けに出している物でも
  共通したバグが出ているのかもしれません。
  それで、バグの内容を公開してしまうことに支障があるとか？
  
  --
  AMIGA4000T(60/50)使い
  
  シェア
  
  親コメント
  - Re:なぜ告知しないの？ (スコア:0)
    
    by Anonymous Coward
    
    Operaの組込み版ってもう何かしらに使われたりするんですか？
    だとすると確かに、何も考えずに公開するのは支障がありますね。
    
    # でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな
    - Re:なぜ告知しないの？ (スコア:2, 参考になる)
      
      by inu (4662) on 2002年05月28日 18時11分 (#99009) ホームページ日記
      
      Linux Zaurusに採用 [opera.com]されてるそうです。
      
      まあそうでなくても、QNXなりSymbian OSなりに移植されてるそうですから、会社によってはOperaの名前を表に出さずに使っていそうな気はします。
      
      ＞# でもOperaみたいな過渡期のブラウザをROMに焼いちゃう組込み企業は嫌だな
      
      いつの時点をもって「過渡的でない」とするのかが難しいでしょう。
      そうでなければ、いつまでたっても組み込みブラウザがリリースできません。
      
      シェア
      
      親コメント
      - Re:なぜ告知しないの？ (スコア:0)
        
        by Anonymous Coward
        
        いや、何らかの手段で書き換え可能ならいいんすけどね。
        
        携帯とかだったらやばいでしょ、という意味で。
        
        Re:なぜ告知しないの？ (スコア:2, おもしろおかしい)
        
        by 3danbara (8421) on 2002年05月28日 22時43分 (#99128) 日記
        
        > 携帯とかだったらやばいでしょ、という意味で。
        
        過渡期どころではないブラウザを組み込んだDoCoMoは
        チャレンジャーってことでいいですか？
        
        シェア
        
        親コメント
        
        Re:なぜ告知しないの？ (スコア:0)
        
        by Anonymous Coward
        
        なにせ、1時間以上のDownじゃないと障害として認めない会社だから＞NTT
  - Re:なぜ告知しないの？ (スコア:0)
    
    by Anonymous Coward
    
    どのみちばれるんだから自分で発表した方が得策だと思うんですがね
- Re:なぜ告知しないの？ (スコア:0)
  
  by Anonymous Coward
  
  もっともですね。
  こんな感じならIEのほうが全然マシとさえ思えてしまいます。
  
  まあ、IE/MSも叩かれてマシになったというのもありますが…。
  だからちゃんと叩かないとダメなんでしょうかね。
  - 開発陣と経営陣の温度差？ (スコア:2, 興味深い)
    
    by mass (8786) on 2002年05月28日 20時42分 (#99076)
    
    > まあ、IE/MSも叩かれてマシになったというのもありますが…。
    > だからちゃんと叩かないとダメなんでしょうかね。
    
    Opera は「早くて安全なブラウザ」が売り文句だった訳ですし、
    なかなか大きく書きづらいのでしょうね。
    体面を気にしていると、もっと大きなものを失うということに
    気づいていないわけでもないとは思うのですが……。
    
    自分はずっとOperaを使っていますが、
    設計思想も基本的には安全側に倒れていますし、
    ＃今回のはアレでしたけど（苦笑）
    バグフィックスの対応も早いので、
    個人的にはとても気に入っています。
    レジストリにはほとんど設定を書き出さない、
    市井の自作ソフトのような作りも扱いやすいですし。
    
    あとはセキュリティホールに対する告知さえ
    しっかりしてくれればいいんですが……。
    
    開発陣と経営陣の思想の差とかあるんでしょうかねぇ・・・。
    
    シェア
    
    親コメント
- Re:なぜ告知しないの？ (スコア:0)
  
  by Anonymous Coward
  
  いまだに6.01しか提供されてない言語もあるんだけど。
  英語版だけfixしたって、ねえ。昔のNetscapeを彷彿とさせるなあ。
  - アップデート (スコア:2, 参考になる)
    
    by hottad (7130) on 2002年05月28日 19時52分 (#99053) 日記
    
    いまだに6.01しか提供されてない言語もあるんだけど。
    英語版だけfixしたって、ねえ。
    6.01日本語版にそのまま6.03英語版を上書きインストールしたら、メニュー等も日本語でそのまま使えましたよ。（あまり時間が経ってないのでもしかしたら、今後なにか問題でるかもしれませんが...）
    
    ただ、インストール後、初回起動時に「言語ファイルのアップデート」という画面が表示され、「言語ファイルのアップデートが必要です。」と言われましたが、怖いので...
    
    　○新しい言語ファイルをダウンロードする
    　○英語でOperaを再起動する
    　●既存の言語ファイルを使用する
    
    「既存の言語ファイル」のままにしておいてます。
    
    「6.02 の日本語言語ファイルって、まだ存在していないので、6.01 のをそのまま使う事に... [g-7.ne.jp]」と言う話もあるので、それでいいのかもしれません。
    
    シェア
    
    親コメント
    - Re:アップデート (スコア:3, 参考になる)
      
      by mass (8786) on 2002年05月28日 20時09分 (#99061)
      
      Opera は上書きインストール耐性があるので、
      新しいバージョンを上書きインストールしてかまいません。
      起動したときにでる「言語ファイルのアップデート」では
      「既存の言語ファイルを使用する」で大丈夫です。
      
      言語設定をはじめとして、各種設定はちゃんと引き継がれます。
      ただし、search.ini （検索フォームの設定ファイル）だけは
      英語版で上書きされてしまいますので、
      必要な方はバックアップをとっておいてください。
      
      シェア
      
      親コメント
      - Re:アップデート (スコア:1)
        
        by nekurai (6253) on 2002年05月28日 21時37分 (#99097) 日記
        
        動作上、上書きでも問題はないんですが、「プログラムの追加と削除」から旧バージョンが消えないですよね・・・気がつくと6.01, 6.02, 6.03 と 3 つ並んでいるし・・・
        
        シェア
        
        親コメント
        
        Re:（プログラムの追加と削除の件） (スコア:0)
        
        by Anonymous Coward
        
        設定移行ツールとかあった方が良さそうですね。
        
        ご存知かも知れませんが、Inasoft さん [highway.ne.jp]のところで開発されている「いじくるツール」というフリーウェアで例の要らない項目を削除することができます。
        Windows XP へも対応しています。
        
        Re:（プログラムの追加と削除の件） (スコア:0)
        
        by Anonymous Coward
        
        窓の手 [asahi-net.or.jp]も使えます
      - Re:アップデート (スコア:1)
        
        by mass (8786) on 2002年05月29日 17時14分 (#99430)
        
        すみません、確かに「プログラムの追加と削除」に
        古いバージョンが残ってしまいますね（汗）
        OJUGのMoonstoneさんとこ [moonstone.jp]に設定と日本語リソースを
        残したままインストール情報だけ消す方法が載っていますので
        参考になさってください。
        要は、旧バージョンのアンインストーラを起動して、
        カスタムアンインストールを選択し、
        レジストリ関係はすべて削除し、ファイル関係はすべて残せば
        大丈夫です。
        
        シェア
        
        親コメント
      - Re:アップデート (スコア:1)
        
        by wosamu (4952) on 2002年05月30日 2時03分 (#99636) 日記
        
        上書きで良いんだったらOpera側できちんとした日本語版をさっさと出してくれたらよいのに。
        
        シェア
        
        親コメント
    - Re:アップデート (スコア:0)
      
      by Anonymous Coward
      
      ユーザーサイト（http://www.moonstone.jp/)内に日本語版から日本語メニュー/ヘルプのまま、最新版へバージョンアップする方法と言うのが図解してありますよ。 http://www.moonstone.jp/en2ja.htm
なんつーか (スコア:1, すばらしい洞察)

by Anonymous Coward on 2002年05月28日 15時09分 (#98914)

お粗末なバグが多い気がするのは俺だけか?
「IEより安全」と言ってた人は何を根拠に「安全」としていたのだろうか?
古臭いというか古典的というか、よそのソフトで過去のものとなってるような穴もちらほら見えているっていうのは、単にいままで誰も積極的に調べてくれなかったから穴が発覚してなかった、って事だろうか?

俺はヘタレだからMozillaにしとくよ。
- Mozillaも無条件に安全ではない (スコア:2, 参考になる)
  
  by gy0 (3393) on 2002年05月28日 15時54分 (#98949) 日記
  
  >俺はヘタレだからMozillaにしとくよ。
  Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。
  僕自身はプログラミングが出来ないので断言はできないですが。
  
  セキュリティーホールの問題が即修正される、という点が大切だと思う。
  凡ミスは誰でもやらかすし、集団で作業していると、個人では「ウソッ??」と思うようなとんでもない事が起こっているということが有ると思うんで。
  
  #あとは、現時点ではシェアが少ないから
  #わざわざ狙う人が居ないので安全・・・というのも有るねぇ。
  #説得力が有るような無いような(苦笑)。
  #Mozillaはともかく、日本の現状ではOperaはNetscapeよりもシェアが少ないようだし。
  
  以前/.jpでトピックになったN6/Mozillaのセキュリティホールはこの二つ。
  
  Netscape/MozillaにCookie漏洩のセキュリティホール [srad.jp]
  Netscape/Mozillaにローカルファイル読みとりの脆弱性 [srad.jp]
  
  #後者では僕の極めて醜いコメントの数々が有るんで少々恥ずかしいのですが・・・ね。
  
  --
  gy0
  
  シェア
  
  親コメント
  - Re:Mozillaも無条件に安全ではない (スコア:0)
    
    by Anonymous Coward
    
    >>俺はヘタレだからMozillaにしとくよ。
    >Mozillaだってセキュリティホール自身は「お粗末」というべきものが多そうな気がしますが・・・。
    
    あー、消去法でMozillaって事ね。
    Mozillaだと、どうしても気になるならナイトリ落とせばいいし。
    NSだと、IEと違ってセキュリティfixでバージョン番号上げるから解りやすいし。
- Re:なんつーか (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2002年05月28日 16時17分 (#98960)
  
  ActiveXが動かない分、多少安全な可能性がある。
  せいぜいそんなところ。
  
  シェア
  
  親コメント
  - Re:なんつーか (スコア:0)
    
    by Anonymous Coward
    
    JavaScriptが動かない分、もうちょっと安全そうなw3mはどう？
    - Re:なんつーか (スコア:0)
      
      by Anonymous Coward
      
      　最強の「安全」とはネットワークに
      接続しないことでしょう。
      　w3mもシェアが少ないので安全そうですね。
      - Re:なんつーか (スコア:2, 参考になる)
        
        by visha (779) on 2002年05月28日 19時04分 (#99032) 日記
        
        w3mもシェアが少ないので安全そうですね。
        
        こんなの [securityfocus.com]もあったんで盲信すると痛い目に遭うかも。何であれ、無条件に安全な実装なんてあり得ないですよ。結局、セキュリティなんて運用がともなって初めて成立するものなんだから。
        
        シェア
        
        親コメント
        
        Re:なんつーか (スコア:0)
        
        by Anonymous Coward
        
        ふーん。GC積んでるので、バッファの扱い等で気を抜いてた可能性がありそう。さすがに自動的な境界検査は難しそうですねー。
- 安全の基準 (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2002年05月28日 16時50分 (#98977)
  
  Microsoft という文字列の有無。^_^
  
  シェア
  
  親コメント
  - Re:安全の基準 (スコア:0)
    
    by Anonymous Coward
    
    operaとあんたが言う[安全]が全く信用できない、という事がよく分かったよ。
- Re:なんつーか (スコア:1)
  
  by nisi (6390) on 2002年05月29日 9時11分 (#99273) 日記
  
  個人的にはoperaをよく使っていますが、一番の理由は
  使いやすさですね。
  
  「IEより安全」とは思ってませんが、
  「IEが安全」とも「Mozillaが安全」とも思ってません
  ので・・・もちろん「operaが安全」とも思ってません
  
  安全かどうかはユーザーの使い方次第でしょ
  
  --
  taka4
  
  シェア
  
  親コメント
  - Re:なんつーか (スコア:0)
    
    by Anonymous Coward
    
    ごもっとも。
    セキュリティソフトとか使えばいいわけですし。
    私もOperaは使いやすいから使っているだけで、安全か否かで使うことを決めたわけではありません。
    IE6も使っていますが、異常なほどのバグの多さ
    - Re:なんつーか (スコア:1)
      
      by nisi (6390) on 2002年05月29日 13時51分 (#99372) 日記
      
      とりあえず突然落ちるのは何とかしてほしいですが(^^;
      
      #でも、再度立ち上げたら直前の状態に戻ってくれるのはいい。
      
      --
      taka4
      
      シェア
      
      親コメント
      - Re:なんつーか (スコア:1)
        
        by Hebikuzure (489) on 2002年05月30日 15時57分 (#99790) ホームページ日記
        
        IEが死ぬのとOperaが死ぬのと、どっちかが際立って多いという印象は無いのだけど、IEは死ぬときWindowsごと(9Xだと特に)落としてくれる場合が多いのに対して、Operaは自分だけ死んで終わるという感じかな。
        IEやら何やらのMSのアプリで何がイヤって、周りに迷惑をかけて死ぬ場合が多い事ですね。
        
        シェア
        
        親コメント
    - Re:なんつーか (スコア:0)
      
      by Anonymous Coward
      
      > セキュリティソフトとか使えばいいわけですし。
      
      特別なポートを使って通信するトロイとかスパイウェアなら
      そのポートをパーソナルなファイアウィールでふさぐとか
      考えられますけど、今回の Opera の問題はごく普通の
      HTML for
＆＃１０；というと (スコア:1)

by AtmarkZero (7164) on 2002年05月28日 18時37分 (#99021) ホームページ

LFですか．まさかCR(＆＃１３；)でも起きるなんて事は無いよね．
やっとこさっとこ (スコア:1)

by QwertyZZZ (8195) on 2002年05月28日 19時56分 (#99055) 日記

この頃になってあっちこっちでセキュリティーウォッチがなされる程度には使われ始めたかな？
ま、やっとこさっとこ眼中外から評価されるレベルになったって事で。
これからが大変だぁね。頑張って欲しいもんだ。
日本語版6.03 (スコア:1)

by naka64 (4590) on 2002年05月31日 22時10分 (#100376) 日記

届いた [opera.com]そうな。変更履歴 [opera.com]。
- Re:日本語版6.03 (スコア:1)
  
  by yatobi (7117) on 2002年06月02日 23時13分 (#101418) 日記
  
  5/29に日本語版でないのー？ってメールしたんですが音沙汰無しです…
  と思ったら5/30にリリースされてたんですが、それでもアナウンス無し…
  ちゃんとお金払って使ってるのに、日本の販売元はやる気あるんだろうか？
  
  --
  ＃　爆言のち漏電中…　：D
  
  シェア
  
  親コメント
  - Re:日本語版6.03 (スコア:1)
    
    by naka64 (4590) on 2002年06月03日 21時03分 (#101890) 日記
    
    ん？僕のところには
    Date: Fri, 31 May 2002 15:31:57 +0900
    Message-Id: ＜200205310631.g4V6Vvl11974@lnx.transware.co.jp＞
    subject: [Opera日本語版 News Magazine]Opera6.03 for Windows日本語版リリースのご案内
    で届いてたが…。
    ライセンス登録変更 [transware.co.jp]で自分のアカウントの状態確認した方がいいかも。
    
    #報告した人間には別送するのが常識、ではあるが。
    #それを問うているのであれば、ごめんなさい。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

最新のOperaに勝手にファイルをアップロードする穴 More ログイン

なぜ告知しないの？ (スコア:1, すばらしい洞察)

Re:なぜ告知しないの？ (スコア:3, すばらしい洞察)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:1)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:2, 参考になる)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:2, おもしろおかしい)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:0)

Re:なぜ告知しないの？ (スコア:0)

開発陣と経営陣の温度差？ (スコア:2, 興味深い)

Re:なぜ告知しないの？ (スコア:0)

アップデート (スコア:2, 参考になる)

Re:アップデート (スコア:3, 参考になる)

Re:アップデート (スコア:1)

Re:（プログラムの追加と削除の件） (スコア:0)

Re:（プログラムの追加と削除の件） (スコア:0)

Re:アップデート (スコア:1)

Re:アップデート (スコア:1)

Re:アップデート (スコア:0)

なんつーか (スコア:1, すばらしい洞察)

Mozillaも無条件に安全ではない (スコア:2, 参考になる)

Re:Mozillaも無条件に安全ではない (スコア:0)

Re:なんつーか (スコア:1, すばらしい洞察)

Re:なんつーか (スコア:0)

Re:なんつーか (スコア:0)

Re:なんつーか (スコア:2, 参考になる)

Re:なんつーか (スコア:0)

安全の基準 (スコア:1, おもしろおかしい)

Re:安全の基準 (スコア:0)

Re:なんつーか (スコア:1)

Re:なんつーか (スコア:0)

Re:なんつーか (スコア:1)

Re:なんつーか (スコア:1)

Re:なんつーか (スコア:0)

＆＃１０；というと (スコア:1)

やっとこさっとこ (スコア:1)

日本語版6.03 (スコア:1)

Re:日本語版6.03 (スコア:1)

Re:日本語版6.03 (スコア:1)