Mozilla、Microsoft の .NET アドオンを一時強制無効化 25
ストーリー by reo
知らずに両方とも削除しました 部門より
知らずに両方とも削除しました 部門より
ある Anonymous Coward 曰く、
米 Mozilla は 16 日、Microsoft の一部アドオンを安全上の理由から強制的に無効化した (CNET News の記事、本家 /. 記事より) 。
無効化されたのは Microsoft の「.NET Framework 3.5 SP1」をインストールすると自動的に Firefox にインストールされる「.NET Framework Assistant」および「Windows Presentation Foundation」。これらのアドオンは深刻なセキュリティ上の脆弱性が確認されており Microsoft によって無効化が推奨されていたが、アドオンを完全に削除することが難しく、また無効化しなかった場合のリスクが高いため Mozilla はこれらをブロックリストに追加したという。ブロックリストへの追加は Microsoft の同意を得て行われたとのこと。
なお、.Net Framework Assistant には攻撃に利用できる脆弱性はないことが Microsoft によって確認され、18 日にブロックリストから除外された。しかし Windows Presentation Foundation に関しては深刻な脆弱性があるとして継続してブロックされている。
日本語では asahi.com の記事がこの件を詳しく報じている。
いくつかツッコミ (スコア:5, 参考になる)
これは正確ではありません。MS09-054が当たっていれば問題の脆弱性は修正されています。しかしMS09-054はWindows Presentation Foundationプラグインのバージョンを更新しませんでした。なぜなら、脆弱性があったのはプラグインのバイナリではなく、そこから呼び出される.NET Frameworkのランタイムのほうだからです。
このためFirefoxのプラグインAPIからは脆弱性が修正済みかどうか判別できないので、仕方なくブロックしているというのが現状です。ソフトブロック(ユーザーが有効化可能なブロック)に変更するとか、システムライブラリのバージョンをFirefoxから検出できるようにするとかの対応が現在検討されています。
asahi.comと毎日jpのIT関連ニュースはCNETの記事 [cnet.com]を流してるだけなので、新聞社のほうにリンクする意味はありません。CNETのオリジナルには存在している外部リンクが削られてたりしますし。
追記 (スコア:1, 参考になる)
> ソフトブロック(ユーザーが有効化可能なブロック)に変更する
これはすでに実施されました [off.net]。またMS09-054の適用率が十分な値に達した時点で、ブロックそのものを解除する予定だそうです。
Re: (スコア:0)
フレームのもと、な気もするのですが。
Windows Presentation Foundationプラグイン には、脆弱性があることがわかっているランタイムライブラリを呼び出してしまう脆弱性があるわけですね。
ランタイムのバージョン確認して、まずいバージョンだったら警告を出すようにしとけばよかったのに。
Re: (スコア:0)
> ランタイムのバージョン確認して、まずいバージョンだったら警告を出すようにしとけばよかったのに。
MS09-054が当たるまでは、当然その時点で脆弱であることが知られていたバージョンしか「まずいバージョン」とは判別できませんから、それで何かが防げたとは思えないのですが…。
ちなみに「まずいバージョン」を判別する機構はSide-by-Sideアセンブリに丸投げですがすでに存在します。
やってるのかは知らんが (スコア:2, すばらしい洞察)
Re:やってるのかは知らんが (スコア:5, 興味深い)
やりたい [mozilla.org]のですが、Adobeが応答してくれないので…。
ブロックは(アドオンの機構を利用したマルウェアなどの場合を除き)ベンダの同意があった場合にのみ行われます。今回もMicrosoftの同意があったからブロックしたわけです。
Re:やってるのかは知らんが (スコア:1)
同意なしでブロックできるベンダーリストを作って、応答しないベンダーはそのリストに入れてしまえばいい。
ノーガード戦法を庇う必要はない。
ブロックしたアドオンは、警告を出した上で、それでもユーザが望むならブロック解除できるようにするといい。
1を聞いて0を知れ!
Re: (スコア:0)
> ブロックしたアドオンは、警告を出した上で、それでもユーザが望むならブロック解除できるようにするといい。
当該バグ [mozilla.org]が立った時点ではそれは不可能だったのですが、今回の騒動のおかげでソフトブロックが実際に運用可能になったのでまじめに検討する価値がありそうですね。
Re: (スコア:0)
要るのはユーザの同意だけじゃない?
Re: (スコア:0)
確かにベンダーの同意を得る必要性が感じられない。
利用者を守るためのものなので、独自判断でいいのでは?
Re: (スコア:0)
ベンダーの同意は得ますが、ユーザーの同意は得ません。ハードブロックされたアドオンを何らかの理由で使いたいユーザーは、ブロックリストの機能そのものを無効にするしかありません。
実際、ClickOnceやXBAPが使えなくなった企業ユーザー(海外には結構いるみたい)からの抗議で該当バグ [mozilla.org]がすごいことになっていました。
拡張・テーマ同様プラグインにも自動更新を (スコア:0)
ユーザーも同意しませんよ。バージョンアップなら同意しても。
一般人なら、「なんでこっちにゃなんの問題もないものをそっちの都合でいきなり止められなきゃいけないの。」ってなりません?
今回のように脆弱性がなおっていない状態で、バージョンアップのしようがない状況なら別として、バージョンアップが出来るんならブロックしないほうがたぶんいい。バージョンアップをうるさく迫るか、他のAdd-on同様プラグインにも自動更新を提供して、起動時に「アドオンに更新があります。アップデートしますか?」でもよい気がします。
(10系で動かないので9系を使う必要のあるFlashは存在しますので10.2x→10.3xのようなマイナーバージョンアップに限り、ですが)
# ただしとんでもないエンバグ仕込まれるのがAdobeクオリティだったりする
Re: (スコア:0)
ユーザがするかしないかは別問題。
Re: (スコア:0)
自動的に入るFirefoxのプラグインに対して、ユーザの同意を得るのもねえ…。
「そんなの知らないよ」って人がすでに大勢。
Re: (スコア:0)
それが社会というものなの。
Re:やってるのかは知らんが (スコア:1, 参考になる)
バージョンチェック [mozilla.com]でアップデートを促されます。
Re: (スコア:0)
Plugin Finding Service Errorが出るからなぜかと思ったら、NoScriptで
mozilla.comは許可してたけどmozilla.orgは許可してなかったorz
わかりにくい (スコア:1, 参考になる)
昨日あたりからFirefoxで起動時にプラグイン切ったってメッセージが出るんだけど
そのウィンドウが微妙。
1点目。
関連情報を調べたいと思ったのだが
「Windows Presentation Foundation」の文字列を選択コピー出来ない。
せめてコピーさせて欲しい。後はぐぐるから。
2点目。
突然Offにされたから、なんでだろう?と思って
「詳細(だったかな?ちょっと忘れた)」を押すと、
「ja.www.mozila.comは証明書エラー」って言われる。
以前から言われていたような気がして、とりあえず例外許可にする。
(本当は良くないので早く直して欲しい)
そうすると、「ja.www.mozila.com」での日本語説明に飛ぶのかと思ったら
「www.mozila.com」に飛ばされる。(リダイレクトされた?)
わけわかんねー
Re:わかりにくい (スコア:2, 参考になる)
Bug 505031 [mozilla.org]です。今回の件でかなり多くの人が目にするようになったので、そのうち解消されるのでは。
Re: (スコア:0)
証明書でエラーが出る件にタレコミが触れてないのって作為を感じる。
朝日新聞じゃなくてCNET Japan (スコア:0)
それ、CNET Japan の記事ですよ。
Re: (スコア:0)
そもそもいらないんじゃ? (スコア:0)
まあ、必要な人もいるだろうけど。
タイトルの一時強制無効化の「一時」について (スコア:0)
Re: (スコア:0)
とタレこみにも書いてあるんだが。