yooseeによる
2005年05月09日 12時25分の掲載
炎上部門より。
炎上部門より。
mew曰く、"Secunia のアドバイザリによれば、現時点で最新リリース版のMozilla Firefox 1.0.3に二つの脆弱性が存在し、既に Exploit code も公開されている。
二つの脆弱性を合わせた重大度は、滅多に出ない最高レベル「Extremely critical」。
現時点でパッチは存在せず、対策は「JavaScriptを無効とすること」。
ひとつは「"IFRAME" JavaScript URL」に関するクロスサイトスクリプティング脆弱性。もうひとつは、リモートからのソフトウェアインストール機構(アドインや拡張など)に使われるJavaScript関数でのURL引数の検証漏れに起因する、任意JavaScriptコードの実行権限の奪取が可能となる脆弱性となっている。これらが組み合わさると、Firefoxユーザがこの脆弱性を利用したページの任意の箇所をクリックしただけで batch/exe 等攻撃コードが実行されてしまうようだ。"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
関連記事です (スコア:4, 参考になる)
# いつも適切なタレコミ内容の補正ありがとうございます>編集者様
関連記事の進捗 (スコア:2)
2005-05-09 00:01 PDTに修正がチェックインされています。盆栽の該当部 [mozilla.org]。trunkには未チェックイン。
親コメント
関連記事の進捗の2 (スコア:2)
親コメント
コードは綺麗に書きましょう (スコア:3, すばらしい洞察)
その Explot code [frsirt.com] が非常に読みにくいのですが…。
まず、コードのHTML部分はW3Cの仕様書に準拠させて下さい。
JavaScriptの部分が乱雑で訳分からないので適切に改行や
コメントを入れて読みやすくするように心がけて下さい。
Re:コードは綺麗に書きましょう (スコア:2, すばらしい洞察)
質問: じゃあおまえさ、exploitコード読まずに今回の脆弱性の原因が何で、今後どういう点に注意して開発しないといけないのか答えてみろよ。
親コメント
Software installationを無効にしよう (スコア:3, 参考になる)
http://www.mozillazine.org/talkback.html?article=6582 [mozillazine.org]
Re:Software installationを無効にしよう (スコア:3, 参考になる)
探しちゃいました.関係部意訳.
[ツール(T)]-[オプション(O)...]で、[Web機能]の
"Webサイトによるソフトウェアのインストールを許可する"の
チェックを外す.
"許可サイト"のリストを全部クリアするでもいい.
"addons.update.mozilla.org" , "update.mozilla.org"の
二つが大事.ダウンロードできなくなる心配はない.
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
親コメント
Re:Software installationを無効にしよう (スコア:2, 参考になる)
この脆弱性は、(1) IFRAMEの脆弱性を使って、アクセスをこの"white list"に載っているサイトとFirefoxに誤認させる (2) (1)のチェックを通過した状況で、JavaScriptの脆弱性を使って任意のコードを実行させる というもので、上に挙げた二つのサイトについてはサーバー側で(1)を防ぐ対策済み、ということだと思います。
親コメント
JavaScript を無効にしてください。 (スコア:2)
セキュリティアドバイザリ 2005-42 [mozilla-japan.org]
# Suite もダメなのか・・・
親コメント
Exploitよりも問題なのは (スコア:2)
何で、JavaScriptからbatch/exeの実行ができるような仕様になってるんだ?
もしもこんな仕様でなければ、セキュリティレベルも高ぐらいで済んだんじゃないかと思うんだけどなあ。
Re:Exploitよりも問題なのは (スコア:3, 参考になる)
Exploit Code で言うと、
が問題になるんでしょう。個人的にはもうこれいらないと思うんですが。
ただし、PrivilegeManager の正常動作の場合は、普通は警告が出まくるようになっています(cancel 可能)。Web 上だと about: config で signed.applets.codebase_principal_support を true にしなければ使うことさえできません。true にして対象の javascript を signed script にしても警告が出ます。ローカルファイル(file:) だと ON にしなくてもつかえますが、やはり警告が出ます。
今回の脆弱性の2番目のもの、
これが、PrivilegeManager からの警告をスルーしてしまう大穴です。
親コメント
現在Exploit codeは動作せず (スコア:2, 参考になる)
私にはこのコード改変の難しさはわかりませんが、脆弱性に対してこのように多角的に対処する姿勢は見習いたいものです。
重要度最高の脆弱性の頻度 (スコア:2, 参考になる)
まあ、1ヵ月1件のペースですかねえ。
特に時が経ち、シェアが増えるにつれ、重要度の高い脆弱性の頻度もだんだんと上がってきている様子がうかがえるので、今後もちょっと注意が必要かもしれません。
実力のみせどころ (スコア:1, 参考になる)
さて、パッチ提供までどのくらいかかるか。セキュアを売りにしたブラウザの真価が問われますね。
時間がかかるようなら「IEのほうがまし」とされてユーザー離れを招くでしょう。
是非がんばっていただきたい。
Re:実力のみせどころ (スコア:2, 興味深い)
運営ってどうなっているのでしょうか。
これが企業製品であれば、恐らく専門に対処する部署もしくは
担当者が居るであろう事が想像され、担当者が出社の後、
出社→対策検討→対処→テスト→リリース→アナウンスという
ようなフローに乗る事が期待できるワケです。
で、オープンソースである場合、担当者が別口で仕事を持って
いる事が想像され、そちらが忙しかったりデスマだったりすると、
上手に運営が流れないのじゃないかと心配になる。
Firefoxなんか、問題があると影響度が多いソフトウェアなんか
だと、専任部隊が居たりするのでしょうか。
親コメント
Re:実力のみせどころ (スコア:2, 参考になる)
>いる事が想像され、そちらが忙しかったりデスマだったりすると、
>上手に運営が流れないのじゃないかと心配になる。
オープンソースの開発者は片手間にプロジェクトの仕事をしていると
いうのは、そういうプロジェクトや開発者もいるだろうけど、
そうではないものもありますね。
有名で大規模なプロジェクトは専任の開発者をもっているところが
ほとんどじゃないですかね。
あと、
>Firefoxなんか、問題があると影響度が多いソフトウェアなんか
>だと、専任部隊が居たりするのでしょうか。
という疑問については、とりあえず直接的な回答にはならないと思いますが
「Mozillaのセキュリティバグの扱いについて」(訳) [mozilla.org]が参考に
なるのではないでしょうか。
2年以上前の文書なのでちょっと古くて現状とは違うかも知れないけど。
Infoseekの機械訳 [infoseek.co.jp]は割と正確に訳せてていいんじゃないかと
思います。
親コメント
Re:実力のみせどころ (スコア:2, 参考になる)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050509/160520/
親コメント
現在、英語版1.0.2 (スコア:1, 参考になる)
Re:現在、英語版1.0.2 (スコア:2, 参考になる)
試しに新規にプロファイルを作ってみたら、再現しなくなりました。
#何が原因かとか調べてないんですが、とりあえず報告、ということで。
親コメント
ついでにメモリ食いもなんとかならないかな (スコア:1)
ペーストビン [windy.cx]
1.0.4 candidate builds (スコア:1)
Asa Dotzler on firefox, cats, mars, and more: 1.0.4 candidate builds [mozillazine.org]