パスワードを忘れた? アカウント作成
5248 story

Opera 7.03リリース、長いファイル名の脆弱性を修正 48

ストーリー by Oliver
さっさとアップグレード 部門より

k3c 曰く、 "先日、Operaダウンロード時の長いファイル名でバッファオーバーフローが起きる脆弱性があることをタレコんだが、この脆弱性をFixした新しいバージョン7.03がリリースされた。Changelogによれば、このほかにMacromedia Flash Playerも脆弱性を修正した新しいバージョンに置き換えているとのこと。
Flash Playerなんか同梱するなよ…Linux版はどうなってるの…というツッコミは置いといて、日本語版もすでに出ているので、さっさと新しいバージョンを使うことをお奨めします。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technical Type (3408) on 2003年03月14日 11時09分 (#278572)
    手元にある Opera のチラシには、セキュリティーに関して「欧米の出版物であなたが使用することができる最も安全なブラウザと評価されています」とあるけど、今や 問題発見者のサイト [rainyblue.org]には
    過日、当サイトで発表した情報を、国内の販売代理店がその内容を 歪曲して自サイトへ掲載し、ユーザに対して正しい情報を与えようとしませんでした。 この様な情報操作は、情報を発信した我々としては非常に残念に思います。
    こう書かれている。対応が悪くて脆弱性の実験コードまで書かれる始末になるとは。でもこっちの方が「Opera の安全性の実態」なんだと思わないといけませんね。
    • by Anonymous Coward on 2003年03月14日 12時07分 (#278610)
      今回の脆弱性の発見者は、Operaが日本でそれなりに有名になる前から活動しているOperaコミュニティの中で色々問題を起こしている故に、周りからも相当不信感があるようですな。

      このへん [xrea.com]とか見ると、事の顛末を窺い知る事が出来ます。
      親コメント
      • 読んで見た感想としては、どっちが正しいのかはっきりしないと思いました。
        周りからも相当不信感があるというより、周り(OJUGメンバー)に対して
        相当不信感があるように感じられます。

        部外者なのでこの顛末を読む限りでは判断できませんが、正しいことをしたために
        嫌われることってあるよねーって思ったり、それには該当しないかもーと思ったり。
        • うーん、個人的な感想は imagine 氏しっかりしすぎ。でも OJUG にも非ありあり。

          脆弱性がちゃんと見つかってちゃんと対処されたことは嬉しい。

          そんなとこ。
    • #対応が悪くて脆弱性の実験コードまで書かれる始末になるとは。
      #でもこっちの方が「Opera の安全性の実態」なんだと思わないといけませんね。

      そう思いたくなるのはある程度理解できますが、脆弱性については、開発元が対処法を発表したり、対応パッチを配布するまでは、普通は開発元に連絡をしてあとは黙っておくのがいいかと。
      そうしないと発見した人間にとっては自サイトでの情報発信は利益になるけど、不利益をこうむるのは一般ユーザーのような気がするんですが。
      おいらの考えは間違ってますかねぇ。
      --
      ---- あのー( ̄△ ̄;
      親コメント
    • 具体的には、どのような歪曲だったのですか?
      • by Anonymous Coward on 2003年03月14日 12時19分 (#278619)
        多分、これ。

        > もし、Operaユーザーが悪意ある細工されたURLを開こうとする時、それによって
        > ウィルスやトロイの木馬への感染、システム破壊、ネットワークへのデータ漏洩等の
        > 被害に遭う危険性があります。
         Operaにおける長いユーザー名で起こるバッファオーバーフローによる脆弱性
         http://opera.rainyblue.org/adv/opera01-unbof.php

        というのが、元々の指摘。
        これが、

        > 「http://」で始まる長いユーザー名を含むURLを開くと、バッファオーバーフローが
        > 発生し、Operaの操作・利用に支障が出る問題が指摘されています。
        > この問題を利用した、悪意のあるURLを開く事で、前記の問題が発生する事があります。
         Opera6.05 for Windowsにオーバーフローによる脆弱性の可能性
         http://jp.opera.com/cgi-bin/supsearch2.cgi?options=index&name=j010
         (これは「日本語サイトにて追加された質問です」だそうです)

        こうなるってのは、意図的に問題を矮小化し、隠蔽しようとしているわけで、
        容認できるものではありません。
        親コメント
    • Technical Typeさんって、ひょっとして、
      問題発見者さん、ご本人ですか?

      いや、違うと思うんだけど、ひらめいてしまった。
  • 上書き注意 (スコア:2, 参考になる)

    by snurf-kim (10835) on 2003年03月14日 12時03分 (#278606) 日記
    上書きインストールするとツールバー類の表示設定が初期化されるのはどーにかしてほしいな。
    確か Opera 6.xx も同じように初期化されてた気が。

    ついでに、バグなのか仕様なのかわからないんだけど、ページスタイルの設定で「作成者モードを標準で使用する」のチェックを外すと、メール表示用のCSSまで解除されてメールがとても読み辛くなるんですが。
    ユーザーCSSにメール関連のCSSを記入してやれば戻りますけど、逆に今度は通常のWEBページ表示に支障が(改行コードが<BR>に置き換わってしまう)。

    更に、デフォルトで画像類を一切読み込まないようにすると広告画像まで表示されなくなってしまうのですが、それはマズくないですか?
    使う方にとっちゃ有り難いですけど。

    #お客様番号書き忘れたんでライセンスキーがまだ届かない・・・。
    • by masahikoi (1183) on 2003年03月14日 14時41分 (#278739)
      うちでは、全画面にするとCSSのページメディア用ルールが適用されてしまう現象のほうが困りました。印刷用に、ページナヴィゲーション用のボタンやリンクを display:none; にしてあったので、全画面にすると操作不能に……。
      親コメント
    • by snurf-kim (10835) on 2003年03月14日 19時06分 (#278888) 日記
      間違い訂正。

      >ユーザーCSSにメール関連のCSSを記入してやれば戻りますけど、逆に今度は通常のWEBページ表示に支障が(改行コードが<BR>に置き換わってしまう)。

      実際は<BR>に置き換わるのではなくて、 white-space: -o-pre-wrap スタイルが適用されるためでした。

      # -o-pre-wrap は Opera 特有の CSS 拡張らしい。
      親コメント
  • by Y.. (7829) on 2003年03月14日 20時22分 (#278915) 日記
    > Flash Playerなんか同梱するなよ
    もともと入ってるPlug-inだから これについては素直にほめちゃっていいと思う
    もともとはいってるPlug-inなんかいちいちチェックする気にはなれないし
    アップデートする立場としては喜ばしいと思う
    …デフォで入れるべきかどうかはこの場では問わないことにしよう

    > Linux版はどうなってるの
    BeOS版は…
    • by shivandragon (10040) on 2003年03月14日 20時47分 (#278926)
      opera使っていないんで良くはわかんないのですが、

      Macromediaの新サイトに、「ブラウザ締め出し」の苦情 [zdnet.co.jp]
      全面的にFlashを採用したMacromediaの新サイト。しかしSafariとOperaに対応していないとの苦情や、障害を持つ人が使えないという批判も

      って記事があったけど関係あるのかな?
      親コメント
      • by Y.. (7829) on 2003年03月15日 0時14分 (#279008) 日記
        ん~
        Opera自体は ネスケプラグインに対応してるにすぎないからあんまり関係ないかも
        Operaで見れないなら Opera側のネスケプラグイン対応が弱いってだけだしブラウザ締めだしは関係ないかな たぶん
        …ネスケプラグインの出来が悪い場合は除く

        ただ、トップページにフラッシュ使うのはプラグインの配布サイトとしては不適切かも
        一応 プラグインOFFにしてても フラッシュプラグインのダウンロードページにたどり着けたからよかったものの
        ShockWaveプラグインがほしくてフラッシュプラグインいらないって人には不親切かなぁ

        ただOperaと認識させるとトップページ見れなかったからフラッシュ使用以前の根本的な問題は潜んでそうな感じ
        親コメント
  • Opera7.03ですけど、前々から気にしていた、
    iso-2022-jpのチルダの文字化け問題は、未だ解決してなくてがっかりでした。

    全部のiso-2022-jpのページで問題が出るわけではないんですが、
    漢字コードのエスケープの際に、"ESC ( J" (JISローマ字)を
    使った場合に、"~"が化けてしまいます。
    アッパーバーになります。Operaは生真面目ですね(苦笑)。
    "~"がURLに含まれる場合は、リンク先に行けません。

    iso-2022-jpの文字コードのWebページを作成する場合、
    FTPソフトなどで、漢字変換を行って転送する人も多いと
    思うんですけど、例えば、FFFTPの漢字変換は
    エスケープに"ESC ( B"(ASCII)を使うから問題ないのですが、
    FFFTPが登場する以前に、広く使われていたNextFTPなどは、
    今のバージョンは知らないけど、JISのコード変換の時に、
    "ESC ( J"を使っていたので問題が出ます。
    私は昔、NextFTP使っていたので、過去に作った多くのページが
    Opera7では未だに問題が出るわけで、かなり、しょんぼりです。

    確かにそりゃ理屈じゃOperaの実装が正しいかもしれないけど、
    アッパーバーに変換するのはどう考えても合理的ではありません。
    せめて、設定で回避できるようにして欲しいものです。
    6.03の頃に対策要望を出したし、Imagine氏などは以前から
    対策パッチを出し続けてるんだけど、一向に対策してくれないんですね。
    わかってて知らないふりなんでしょうか。

    ShurikenPro3とのコラボパック版を買う予定なんで、
    その後にまた対策要望出してみます。製品版を持ってる相手なら、
    対応が違うかもしれません(苦笑)。
  • by mr_spock (908) on 2003年03月14日 20時51分 (#278928)
    6.x の時には amazon.co.jp で検索できたのに
    7.x になってから amazon.com になってて変更できない。
    google は .com でも .co.jp でもいいんだけどさ。
    amazon は co.jp が便利なんだけど…
  • は直ったのか ?
    --
    謝々々々 台湾宮廷料理海味館 名●屋市熊の前二丁目 ( MiniStop 対面 )
  • by Anonymous Coward on 2003年03月14日 12時48分 (#278645)
    Operaユーザのver.6から7への移行率って実際どんなもんなんでしょうか?
    サイトへのアクセスログではなく実態調査としてお聞きしたい。
    • 出戻りました (スコア:2, 参考になる)

      by Magicat (12918) on 2003年03月14日 21時19分 (#278944)
      ついさっきまで Opera 7.03 を試していましたが、
      いましばらくは 6.05 を使うことにしました。

      うちの環境に依存する問題かもしれませんが、メニューバーや
      ホットリストなどが少々文字化けするので。
      例えば、ブックマ┌ク とか メ┌ル とか 履┌ という感じです。

      それから、相変わらず MS のサイトとは相性が悪いようで、
      TechNet などで左側に出てくるはずのリストが見えません。

      まぁ、それ以外には目立った不満もないし、Opera 6 のレジストも
      してあるんで、そういう不具合を解消できたらたぶん移行すると
      思います。
      --
      -- 環境負荷に配慮して言葉のオブラートを少なめにしています --
      親コメント
    • by Anonymous Coward
      7に移行しない理由ってあるんですか?
      処理も速いままで、表示関連がかなり改善されてるのに。
      • by hokunan (11798) on 2003年03月15日 11時19分 (#279268) ホームページ 日記
        Windows 版の6.05, 7.01 を入れてます。

        一時 7 の方をメインに切り替えようと思ったんですが、画面の描画周りが妙にカクカクしたりおそかったりしてます。
        これならまあいいや、と 6.05 に戻してます。使ってるのはブラウザ機能のみ。

        まあ、そもそもが Crusoe な C1 VAIO (PCG-C1VR/BP) なんで、単純にそっちに引っ張られてるだけという話も。
        親コメント
      • by Anonymous Coward
        アスキーアートが乱れるので、某掲示板をビューアー使ってみていない人は6を使っています。
        そんな人は多分300人くらいだと思うが(笑)
    • by Anonymous Coward
      設定が上書きされるとか、面倒だからとか、そういう性能とは関係ない部分で常にある程度の人はverupしてないと思われます。

      # 今、verを見たらver6.05 Build1140だったりしたわけです。
  • by Anonymous Coward on 2003年03月14日 14時34分 (#278733)
    ある程度スペックがあると速度差が全く感じられないだとか、IE系タブブラウザから毛が抜けたような機能だとか、そこらへんは100歩譲って仕方ないとして、nViewの個別設定ができないのが激しく致命的。
    私にゃサイトデザインの表示確認ぐらいにしか使えないかな。

    ところで、
    jp.opera.com/linux/にアクセスするとjp.opera.com/に飛ばされますね。
    Linux版はもう出さないということかな。残念。
    • by Wypha (14685) on 2003年03月14日 15時24分 (#278763)
      >私にゃサイトデザインの表示確認ぐらいにしか使えないかな。

      コレが出来るようになっただけでも、100歩以上前進かも。

      # いま、Opera7.03から書き込み実験中
      親コメント
      • by Anonymous Coward on 2003年03月14日 17時02分 (#278821)
        元ACではありませんが...
        ふつ~「サイトデザインの表示確認」と言う場合、 「ブラウザによって致命的におかしな表示になっていないか」 を確認するという意味であって、コレができないものはブラウザを名乗ってはいけないのではないかと思います:-)
        親コメント
        • by Wypha (14685) on 2003年03月14日 17時27分 (#278832)
          > 「ブラウザによって致命的におかしな表示になっていないか」 を確認する

           おっしゃるとおりですね。

           ところで、Opera6 -> Opera7での大きな変更の一つに、CSS2対応があるようです。
           他にも色々あるでしょうが、まだよく分かってません。

           これで、やっとOperaもCSS2対応の表示確認に使えるということを、皮肉っぽく書いただけです。

           あと、Opera7で画像を非表示にしていると、IMGタグのサイズ属性に関わらず、ALT属性の文字列を表示する為にブロックサイズを拡張するようです。
           スラドJPも含めて、かなりレイアウトが崩れます。
           (ZDNetなんか、凄い事になってます)

           このあたり、Mozとは違いますね。

           やはり、「当たり前」な機能でも確認できるブラウザは多い方が良いと思います。^^
          親コメント
          • ところで、Opera6 -> Opera7での大きな変更の一つに、CSS2対応があるようです。
            他にも色々あるでしょうが、まだよく分かってません。
            嘘ですね。Opera 5.xのChangelog [opera.com]の時ですらCSS2をサポートしている旨が記されています。どの程度CSS2をサポートしているかは、Web Specifications Supported in Opera 7 [opera.com]やCSS Laboratory [vis.ne.jp]が参考になるかと思われます。
            親コメント
            • 参考になるリンクを示して頂いて、ありがとうございます。

              でも、え~と、
              >>ところで、Opera6 -> Opera7での大きな変更の一つに、CSS2対応があるようです。
              >>他にも色々あるでしょうが、まだよく分かってません
              というコメントに、
              ですね。
              は勘弁してください。

              「間違ってます」くらいのほうが、うれしいです。

              で、僕の言いたいことは伝わりませんでしたでしょうか?
              Opera6のころは、CSS2に対応していると言おうものなら非難轟々になるくらい、サポートの程度が低かったと思います。
              (Opera5の頃は、一度も使ったことがないので分かりませんが、6よりマシってことはなかったのでは?)
              Opera7になって、そこそこ表示できるようになった、よりCSS2対応が進んでいるようだ、と言いたかったわけです。

              >>これで、やっとOperaもCSS2対応の表示確認に使えるということを、皮肉っぽく書いただけです。

              というのは、そういう意味です。
              間違った書き方をして、すみませんでした。
              親コメント
          • あと、Opera7で画像を非表示にしていると、IMGタグのサイズ属性に関わらず、ALT属性の文字列を表示する為にブロックサイズを拡張するようです。
            スラドJPも含めて、かなりレイアウトが崩れます。
            (ZDNetなんか、凄い事になってます)

            うろ覚えだけど、Opera6でもそうだったかな? ZDnetはレイアウト目的で <IMG SRC="/images_top/spacer.gif" WIDTH=... HEIGHT=... BORDER="0"> というやつを多用してますからね。先ほどあるページ内で数えたら58ヶ所ありました。

            レイアウト目的の画像挿入の是非は置いといて、とりあえず[Show Images]ボタンを「半分欠けているやつ(キャッシュにある画像だけを表示する)」にしておくと、widthやheightを考慮してレンダリングしてくれますよね。画像自体の本来のサイズ頼りだとだめなんですけども。

            まあ「画像の読み込みを省く」「画像を表示しない」両方の目的を兼ねるとなると、妥協点はこんな感じになるかなと思います。個人的には実用レベル。

            親コメント
            • >(キャッシュにある画像だけを表示する)」にしておくと、widthやheightを考慮してレンダリングしてくれます

              なるほど。
              この手は使えますね。

              >個人的には実用レベル。

              たしかに、使用者側としては、実用に耐えるかもしれません。
              でも、HTMLを書く側としては、神経を使うことになるかも。

              まあ、Opera7が、常用ブラウザとして使い物になるのかどうかは、まだ分かりません。
              バグもあるようですし、判断を下すには早すぎるでしょう。
              でも、少しづつでも標準に準拠しようとしているブラウザが増えることは、喜ばしいことですね。
              親コメント
          • >これで、やっとOperaもCSS2対応の表示確認に使えるということを、皮肉っぽく書いただけです。

            表示確認の結果「デザインボロボロだけど読めるからいいか。どうせユーザ少ないんだし」というのもあるかもしれませ

      • > >私にゃサイトデザインの表示確認ぐらいにしか使えないかな。
        > コレが出来るようになっただけでも、100歩以上前進かも。

        そんなもんを値段付けて売ってるのですか....
    • そんなにスペックがないせいか、サイトによっては結構違う気がしますけれど、7.0.2->7.0.3になったらネットスケープとは差が出てきたような。
  • by Anonymous Coward on 2003年03月14日 20時27分 (#278916)

    P4 Xeon 1.7 Dual で linux 版 Opera 6 (static link) を使っているのですが,いまいち「速さ」を実感できません.

    マウスの中クリックで新規タブをつくったとき(バックグラウンドで開くっていうのでしょうか?),今見ているタブが固まるのはなぜ???

    # phoenix の方がよっぽど体感速度がいいのでAC
  • by Anonymous Coward on 2003年03月14日 21時51分 (#278956)
    発見者のサイトで
    「今回のリリースは場当たり的で…」
    とかかいてるぞ

    言われたとこしか直して無くて他にも同種の穴あったっての勘弁な
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...