パスワードを忘れた? アカウント作成
9287 story

Tabbrowser Extensionsに深刻なセキュリティホール 43

ストーリー by Oliver
タブなくしては生活できず 部門より

k3c 曰く、 "Mozilla, FireFoxの機能拡張であるTabbrowser Extensions更新履歴によれば、この機能拡張に「深刻なセキュリティホール」が発見され、これを修正した新バージョンがリリースされています。update.mozilla.orgに反映されるには少し時間がかかるようなので、使っているヒトはすぐに直接ダウンロードして更新しましょう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by support_firefox (25197) on 2004年12月03日 2時24分 (#660861)
    以前、AC で書き込んだこと [srad.jp]がありますが、ここまでの書き込みを
    見ていて、やはり事実誤認や誤解があることがわかりました。

    まず、タレコミにある「update.mozilla.org に反映」ですが、そもそも、
    update.mozilla.org からは、インストールはおろか、ダウンロードすら
    できません。それは、この拡張機能が非推奨だからです。

    その理由として、Neowin.net から、一部ですが、引用 [neowin.net]します。

    TBE is one of the most buggest extensions. It has never been and most likely won't ever make it onto update.mozilla.org because of this. The firefox devs, other extension devs and many many people at mozillazine strongly discourage the use of TBE because of its buggyness. A lot, and I mean A LOT of bugs that are filed on bugzilla and new threads started on mozillazine are a result of this extension. Please just use the built in options (bangbang already explained how to turn these on) or if you feel you must use TabbedBrowserPreferences isntead.

    また、Firefox開発チームリーダーである Ben Goodger の Mozillazine Forum での
    発言を参照してください。これ以外にもありますが、とりあえず。

    http://forums.mozillazine.org/viewtopic.php?p=272721&highlight=#272721
    http://forums.mozillazine.org/viewtopic.php?p=274175&highlight=#274175
    http://forums.mozillazine.org/viewtopic.php?p=277768&highlight=#277768

    最後の発言では、この拡張機能の危険性に触れています。
    「イリーガルなこと」という、今回の作者のコメントを引くまでもありません。

    そして、update.mozilla.org には存在しない、現在の状況とのつながりですが、
    「危険な拡張機能」をインストールできないように、とまで発言しています。

    未だに使用できること、そして、薦めるユーザが多いこともあって、#660651の [srad.jp]
    AC さんの発言があるのだと思いますが、ある意味、「弊害」ですね。
    Firefox 開発チームとしては、容認していないし、したくない立場でしょう。

    このあたりは、オープンソースコミュニティで開発を制限できるのか、など、
    いろいろと考えなければならない点もあるとは思いますが、正直、Ben には
    インタビューされる機会が何度かあったのだから、もう少しこの点に触れても
    よかったのではないか、と、個人的には思っています。
    (ここで私が発言しても、どれほど認識してもらえるか)

    http://www.neowin.net/articles.php?action=more&id=96
    http://news.com.com/Unearthing+the+origins+of+Firefox/2008-1032_3-5406708.html

    Mozillazine Forum での Ben の発言にもありますが、Firefox への影響
    (シングルウィンドウモードなどのアイデア)があったことは否定しません。

    しかし、先日の拡張機能の話題 [srad.jp]を見るまでもなく、否定的な情報を
    隠したまま、「定番」 [itmedia.co.jp]として広まってしまうとすれば、それは
    オープンとは言えませんし、あまりにもアンバランスな状況です。
    また、Firefox 開発チームに、余計な負担をかけてしまうことにもなりかねません。

    ここ、/.J に限らず、IE の ActiveX などについては、セキュリティ面からの
    拒否反応があり、情報を知らないユーザへの批判が多いように思いますが、
    そのようなコミュニティにおいて、この機能拡張の危険性を検討しないまま、
    他のユーザに薦めている状況も、「危険」ではないかと思う次第です。

    • なるほど。
      自分にとっては必須の拡張という感じであり、また、色々な所でも「取り敢えず入れとけ」という扱いで薦められまくっているにもかかわらず、本家の「update.mozilla.org/extensions」に載らないのは何でだろー、とか、思っておりましたが、その辺の危険性を加味しての判断があったのですね。
      確かに、そのあまりの多機能性から「なんか穴が開いているか、穴が開き易いことになっているんだろうなー」とは思いつつも、やはりその機能ゆえに使い続けてきました。
      今までは、Firefox自体を更新した時とか、なんとなく気が向いたときとか、その程度での頻度でしか気にしてませんでしたが、これからは更新情報などをもっとマメに確認したほうがいいですね。

      #これを機会に、他のタブブラウジング機能拡張も試してみるかな?
      --
      -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
      親コメント
    • by Anonymous Coward on 2004年12月03日 23時22分 (#661327)
      開発ポリシーのズレを認識しながら2年も音信不通を
      決め込んでたってこと?

      いっそ、Firefox + TBE は Firefox の fork したバージョン、
      とでもアナウンスしてくれればよかったのかも。
      親コメント
    • TBE の利用者の立場から発言します。

      挙げられている発言の内の1つ [mozillazine.org]には、このような意見 [mozillazine.org]も寄せられているようですが。

      But is this not one of the more popular extensions?? It may also be terrible that the developers give no indication of trying to incorporate into or give encouragement to others to fix the problem areas. And i hate to say this . . . but it smacks of MS's attitude of 'we know whats best for u!'

      あと、IE における ActiveX の問題と TBE の問題を同列に語られてもね……
      前者はシステムに最初か

      • by Anonymous Coward on 2004年12月03日 4時38分 (#660873)
        > 前者はシステムに最初から組み込まれているのに対して、後者は利用者が選択して明示的にインストールしなければ利用できないのだし。

        ActiveX の何が問題にされていたか、分かってないんじゃないの?

        > 「非推奨の機能拡張です」
        > 分かりました。では推奨される代替物は他にあるのでしょうか?
        > 利用者にとっては、そのソフトが自分のユーザ体験をいかに改善してくれるかだけが重要なのであって、問題が起こっても速やかに対応が取られている限りにおいては、実装がどうなっているのかなど、正直どうでもいいことです。

        これって、何年か前のマイクロソフトの態度そのものでは?
        親コメント
        • Mozilla Foundationがその実装をいくら嫌っていようと、
          機能そのものを求めている人間が多いこと、
          タブ関係の拡張が多すぎてスタンダードというべき機能拡張が必要とされていること
          という状況は変わっていない。
    • TbEの代わりになるエクステンションてどこかにあるんでしょうか。
      適当な代替品がない限りは、使われ続けるのを止めることなんて出来ないでしょう。
      私にとってはTbEあってのMozilla/Firefoxなんで、TbEが使えなくなったらブラウザごと乗り換えを検討しますね。

      # buggyだ
      • by support_firefox (25197) on 2004年12月04日 6時01分 (#661456)
        ひとまず、代わりになる拡張機能の情報について書いておきます。
        (どちらに返事を書くか迷いましたが、こちらにしました。ご了承ください)

        既にいくつかの拡張機能について、書き込まれている方もいるのですが、
        まとまった形としては、MozillaZine Knowledge Base にあります。
        Extensions That Replace TBE [mozillazine.org] を参照してください。

        また、それの日本語訳ではないのですが、hadakadenkyu 氏の「Firefox -
        ソフトウェア関連記事」に書かれたリスト [flnet.org]がまとまっていますね。

        一連の拡張機能の情報については、MozillaZine の Extensions forum で
        新規開発も含めて意見交換が行われていますので、そちらをどうぞ。
        以下の2つです。

        Rebuilding TBE's featureset with other plugins [mozillazine.org]
        Rebuilding TBE's featureset with other plugins, II [mozillazine.org]
        親コメント
      • by seraen (6928) on 2004年12月03日 12時28分 (#660976)
        Tabbrowser Preference [intraplanar.net]とTabX [mozdev.org]で大体、代替がきくと思いますが。。。
        親コメント
        • by kz78 (20202) on 2004年12月03日 19時52分 (#661201)
          私はTbEで使っていた機能と同等の機能を実現するために4つの拡張を入れました。結局めんどくさくなってTbEに戻しましたが。
          ・Tabbrowser Preference
          ・PrefButtons
          ・undoclosetab
          ・Flowing Tabs
          インストールした拡張の数が増えると設定が煩雑になるんですよね。特にタブ関係の機能は設定を変更しようとすると、どの拡張の機能か探すところから始めないといけなかったりして。
          親コメント
        • Tabbrowser Preference は 1.0 にインストールできませんでしたが。。。
        • TbEで提供される機能でブックマークのプロパティに追加される
          『タブの設定』も何かで代替出来るのでしょうか。
          私はこの機能を使ってFirefox本来のJavaScriptオン、
          タブのデフォルトのJavaScriptオフ、
          ブックマークで特定のサイトのみJavaScriptオンで使っています。
          この機能がないFirefoxには魅力を感じないです。
          • by eruchan (2221) on 2004年12月03日 23時06分 (#661315)
            私はこの機能を使ってFirefox本来のJavaScriptオン、
            タブのデフォルトのJavaScriptオフ、
            ブックマークで特定のサイトのみJavaScriptオンで使っています。
            さらにつけ足しておくとその設定に加えて、PrefButtons [mozdev.org] の JavaScript(this tab), Plug-Ins (this tab) 等を使うと、タブ毎に JavaScript の on/off もできますね。

            Java や Send Referer に this tab が無いのがちょっと悲しいところですが・・・。

            #というわけで俺も同じ理由で TbE が必須です・・・。
            親コメント
      • > # buggyだから使うななんて言葉をMozillaの開発者が口にするようになったんですねえ。
        > # マイルストーン時代からbuggyなMozillaに付き合ってくれるユーザがいたからこそ
        > # ここまでこれたんでしょうに。

        開発中で、事情が分かった内輪の連中で使うものと、
        リリースされて、よく分からずに薦められて使う人がいる
    • ちょっと待て。

      Piroさんの日記を見ると、このBenの発言やFirefox開発者の公式見解(?)を知らなかったみたいだぞ。
      2年も前に問題点がわかっておきながら、なんで本人に注意しなかったのだ?
      交渉はあったのか?

      Piroさんが割り切っていたならともかく、危険性を知っていながら放置するなんて、何がセキュリティだ
      ふざけている
      • というかそもそも、オープンソースなんだから修正して反映してもらえばいいだけの話じゃないの?

        大抵、こういう話題の時ってみんなそう言うじゃん。
        言い出しっぺがやれ、自分で手を動かせって:-P
  • Firefoxのポリシー (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年12月02日 19時18分 (#660651)
    要はFirefoxの側が、拡張機能の側に、セキュリティーホールを作れるくらいの自由度を認めているってことですよね。

    これって、ある意味、Firefoxのセキュリティーホールとも言えるんじゃないかなあ。

    • by Sakura Avalon (12557) on 2004年12月02日 23時04分 (#660761)
      そうには違いないのですが、ExtensionならばFixを待たずとも外すだけで当面の危機は去るというメリットがありますね。セキュリティとは別になりますが、いろんなExtension試していたらFirefox自体が立ち上がらなくなったのでセーフモードで起動して一部のExtensionを削除したところしっかり元に戻りました。起動しなくなるのは困りものですが再インストールまでしなくても済むのはかなり助かります。

      #IEのActiveXコントロールは個別にそして明示的に削除する方法ありましたっけか?もちろんRegEditいじって不能にするとかはできるでしょうけど。
      親コメント
      • by kei100 (5854) on 2004年12月03日 0時31分 (#660814)
        >#IEのActiveXコントロールは個別にそして明示的に削除する方法ありましたっけか?もちろんRegEditいじって不能にするとかはできるでしょうけど。

        ツール>インターネットオプション>設定>オブジェクトの表示

        でも、セットアップのランチャが残ってるだけで本体は別とか、
        アプリケーションの追加と削除にあったりするので確実とは限らないです。

        # まぁ、Firefoxでも同じ事ですが
        親コメント
      • by Anonymous Coward
        >#IEのActiveXコントロールは個別にそして明示的に削除する方法ありましたっけか?

        Win XP SP2なら個別に有効・無効を切り替えることができますよ。
        #削除はそこではできないようですが。

        IEの[ツール]-[アドオン]で開くことのできるアドオンの管理
        ダイアログでActiveXやブラウザ拡張などの有効、無効を切り
        替えることができます。
      • by Anonymous Coward
        > ExtensionならばFixを待たずとも外すだけで当面の危機は去るというメリットがありますね。

        外れたフリをしてしっかり活動し続けるExtensionが書けたりはしないのでしょうか。
        • by greentea (17971) on 2004年12月03日 6時49分 (#660879) 日記
          拡張機能ダイアログを乗っ取るExtensionを作れば可能でしょう。
          でもセーフモードから起動orプロファイルからExtension強制削除でどうにかなるかと。

          こういうのが作れること自体がFirefoxのセキュリティホールって意見もあったけど、
          ある程度はまったくその通りだと思う。

          レジストリやプロファイル外のファイルの編集は認めないor尋ねるようにしないと
          (今はIEの方が普及しているのでスパイウェアも0に近いかもしれないけれどFirefoxが普及したら)
          ActiveXと同じ状況になるのは明らか。
          --
          1を聞いて0を知れ!
          親コメント
          • by Anonymous Coward
            >こういうのが作れること自体がFirefoxのセキュリティホールって意見もあったけど、
            >ある程度はまったくその通りだと思う。
            まだ1.0が出たばかりだし、それはこれから改良されるのに期待しましょう。
            きっとVer 3.1よりは早いと思いますよ.
            • by greentea (17971) on 2004年12月04日 1時11分 (#661397) 日記
              そういう制限はできるだけ早いうちにしておかないと、
              某OSのSP2みたいに、○○が動かないとか、警告がうっとうしいとか、そんな状況になるのでは?

              一切セキュリティホール無しなんてのはありえないと思いますが、
              安心してアップデートできるようにしてもらいたいです。
              --
              1を聞いて0を知れ!
              親コメント
    • by deleted user (9158) on 2004年12月03日 6時20分 (#660877)
      extensionがどんなものか、って全然知らないのでどなたかに教えていただきたいのですが。

      ユーザがextensionをインストールできるwebサイトを追加している場合で、そのwebサイトが
      改竄をうけて、改竄者が拡張の新しいバージョンを設置した場合、ユーザは自動更新で改竄されたバージョンをインストールしちゃうんでしょうか。

      Firefoxがextension用のサンドボックスを用意できてないなら、その分だけextensionの健全性を信用しないとだめですよね。
      私はTBEは使っていませんが、SwitchProxy Toolを一時期update.mozilla.orgではなく開発者のサイトからインストールして使ってたり、/.Jで知ってRadialContextを使ってたりしています。
      インストールの許可をあたえたのはユーザ(自分)で、そのユーザの自己責任に違いはありませんが、他ユーザの「便利だよー」って誘惑に打ち勝ってセキュリティを守れるかというと、これは難しいところですよね。
      親コメント
    • by Anonymous Coward on 2004年12月03日 14時05分 (#661036)
      > これって、ある意味、Firefoxのセキュリティーホールとも言えるんじゃないかなあ。

      セキュリティホールのあるソフトウェアが作成・実行出来る OS に、セキュリティーホールがあるとは言えないでしょう。
      ましてやそれが堂々巡りしてハードウェア、さらにはインターネット自体の欠陥であると主張できますか?

      拡張のセキュリティホールが、Firefox のセキュリティホールにつながるわけではありません。
      この場合 Firefox と拡張 (タブブラウザ拡張) のセキュリティホールの関係性は切り離すべきです。

      Firefox に何らかの対策機構 (たとえば拡張ごとの IP フィルタや、ファイルの読み書き制御とか?) が設けられるのも、面白いかもしれません。だけど重くなるんじゃ・・・。
      親コメント
    • by Anonymous Coward
      ActiveXコントロールと同じだってことですね。

      ActiveXコントロールは、署名ありが当然だったけど、
      Mozilla extentionは、署名の仕組みは歩けど、誰も署名してない
      っぽくないですか?
      • セキュリティのことを考えて IE から Firefox に乗り換えるっていう人も多いだろうけど、
        そういう人は、署名なしのextensionなんて絶対にインストールしないんでしょうね。

        署名があったからといって悪意のextensionではないという証拠にはならないかもしれないけど。

  • by fetus-embryo (17108) on 2004年12月02日 21時45分 (#660726)
    今自動更新してみたら、しっかりバージョンアップが検出されました。
    ということで、自動更新でも OK になったみたいです。
    --
    うっうー
  • × FireFox (スコア:1, 参考になる)

    by Anonymous Coward on 2004年12月02日 17時38分 (#660591)
    ○ Firefox
  • by hoihoi-p (5571) on 2004年12月02日 19時33分 (#660661) 日記
    昔、VineSeedで、mozilla-tabext-1.6.2003021201-0vl1
    を、使ってて、Zope使ったサイトにアクセスすると、ZWiki等のコンテンツが、ロジックごと破壊されてましたねー。

    ちなみに、数日後にリリースされた mozilla-tabext の新版に入れ換えると起こらなくなりました。

    以後、開発元のあそこの会社のmozilla-tabextを入れるときは、自宅でテストをして、外部アクセスしてます。

    # 別に、業務妨害してる訳ではないです。 あしからず。
    --
    hoihoi-p  得意淡然、失意泰然。
  • by Anonymous Coward on 2004年12月02日 20時38分 (#660693)
    ある操作をすると
    作者がフられた
    彼女の実名が表示されてしまいます。
  • by Anonymous Coward on 2004年12月02日 16時53分 (#660559)
    extentionからでもセキュリティホールが出来るんですね。
  • by Anonymous Coward on 2004年12月02日 17時00分 (#660562)
    どう言う部分に問題があったとかどういう影響があるとかいう情報が
    あれば他のextension開発者が轍を踏む確率が下がっていいと思う。

    あと、ブラウザ繋がりってことでIEのIFRAMEの奴の修正パッチ [microsoft.com]が出てた。
    • Re:詳細希望 (スコア:5, 参考になる)

      by ky_lok (12690) on 2004年12月02日 17時16分 (#660573) 日記
      こんなんでよござんしょか。


      「タブブラウザ拡張」に攻撃者が任意のコードを実行できる深刻な脆弱性

      TBEの作者より12月1日、「タブブラウザ拡張」に攻撃者が任意のコードを実行できる脆弱性があることが発表された。危険度は「緊急」で、作者はユーザに、対策済みの最新版(1.11.2004120101)へ早急にバージョンアップするよう呼びかけている。

      この脆弱性は、Webページ中のJavaScriptでタイマー処理されたコードにおいて、XPConnect特権を取得することなしに、XPCOMの任意の機能を呼び出すことができるというもの。悪意ある攻撃者によって、ローカルファイルの操作や個人情報の無断送信などが行われる恐れがある。なお、 JavaScript機能自体を無効にしている場合は、この脆弱性の影響はない。

      この脆弱性が含まれるのは、「タブブラウザ拡張」Ver.1.11.2004111302およびそれ以前の全てのバージョン。作者は、Ver.1.11.2004120101以降で問題は既に修正済であるとしている。

      作者様サイト Latest Topics [sakura.ne.jp]より

      なお、この分のすぐ下に、

      これだけイリーガルなこと(関数書き換え等)をやりまくってるんだから絶対どっかにセキュリティホールがあるはずだと思ってはいましたが、ついに発見されました。はっきり言ってこの穴はヤバすぎ。もう何でもアリです。論外です。現時点までに被害に遭われた方がいないことを祈るのみです。

      とありますので、何はさておき更新すべきでしょう。
      # ワシはまだだけどね(だめじゃん)

      で、これだけだと引用だけになってしまうので、ちょっと気になるところを。
      > 現時点までに被害に遭われた方がいないことを祈るのみです。
      ってことは、具体的な被害の報告があって調べてみた、ということではないようですが、このバグって、どうやって見つかったんでしょうか。
      なにかバグチェックのためのツールなり方法なりがあったら、もしかして参考になるかなー、とまあ虫がいいことを考えた次第。
      --
      どう発音するのか、それが問題だ。
      親コメント
      • Re:詳細希望 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2004年12月02日 17時37分 (#660590)
        >とまあ虫がいいことを考えた次第。

        虫がよすぎますね、バグだけに。

        # 虫の居所は悪くないので AC
        親コメント
    • Re:詳細希望 (スコア:2, 参考になる)

      by yujiro (12573) <yujiroNO@SPAMfinalbeta.jp> on 2004年12月02日 17時19分 (#660577)
      作者さんの近況報告 [sakura.ne.jp]に脆弱性の具体的な内容と影響範囲が掲載されていますね。
      --

      -May the sakura-cards be with you.-
      親コメント
      • by Anonymous Coward
        様はローカルファイルの削除、サーバーからこっそりダウンロード、ソフトのインストール(レジストリも弄れたはずだし)、その他諸々ができてしまうのです。
        考えただけでも恐ろしい…
  • by Anonymous Coward on 2004年12月02日 18時11分 (#660613)
    実は、「無効」に設定してあるので助かりました。
    「外部からのリンク」で「新しいウィンドウで開く」にチェックしても既に開いているウィンドウで外部アプリからのリンクを開いてしまう不具合があって、微妙に使いづらかったので……
    で、新バージョンが出たというので喜んでインストールしたら、そっちの不具合の方はなおっていませんでした……orz
    • アンインストールしてしまっていました。
      TEを入れていると、どう設定をしようとライブブックマークを[タブで開く]ができなくなってしまうもので...
  • by Anonymous Coward on 2004年12月03日 8時57分 (#660895)
    ラスト一個のタブを閉じる時に
    一瞬二重に見えていたのが治りましたね。
    強引にやってるから仕様なのかなと思ってたんですけど。
  • by Anonymous Coward on 2004年12月04日 20時15分 (#661746)
    便利な反面、Firefoxのシステムに変更を加えているとか
    何やらヤバゲな情報もちらほら聞きます…。
    でも、リスキーだから外したくても、自分にとってどうしても必要な機能が
    TBE以外になかったらなかなか決別できませんよね。
    というわけで、TBEを使わずに同等の操作を補う手段はどのくらいあるんでしょうか?

    私が一番必要としていた、タブバーにスクロールバーを付けるのは
    スラドの日記にあった、morさんの11月12日分の記述でなんとか解決できました。
    (これ本当に助かりました。ありがとうございます。)

    あとはドラッグによるタブの入れ替えをminiTに任せて
    新規タブから開かせるためにTabbrowser Preferencesを入れたくらいでしょうか。
    TPは左端のボタンが邪魔でしたが、どうにか消せたので使っています。

    以上、私の使っている方法です。
    どんな機能がどれで代わりになるか、詳しい方はいますか?
    • 改めてみると、やや不親切でした。

      スクロールバーによるタブのスクロール
      http://srad.jp/journal.pl?op=display&uid=5826&id=263488

      ここの内容をFirefox設定フォルダにあるuserChrome.cssに追加です。
      設定フォルダは説明が難しいので
      わからなかったらお調べください。
      (userChrome.cssがなければ作ってください。文字コードはUTF-8で)
      後半に2つある「min-width」というのは
      現在開いているタブと
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...