Windows版Mozilla/Firefox/Thunderbirdに脆弱性発覚 97
ストーリー by GetSet
思い当たる人は対処を 部門より
思い当たる人は対処を 部門より
marusa 曰く、 "mozilla.orgのリリースによると、Windows版のMozilla、FirefoxおよびThunderbirdについて、「shell:プロトコルに起因する脆弱性」が発見されたそうです。この脆弱性は2004/7/7にメーリングリストへ報告され、同日Mozillaセキュリティチームが問題を確認し、翌7/8に「shell:プロトコルのハンドラを無効にする」という方法でfixされました。
それぞれMozilla1.7.1/Firefox0.9.2/Thunderbird0.7.2にバージョンアップを行うか、パッチ(shellblock.xpi)を適用するようにとアナウンスされています(新バージョンおよびパッチはいずれも上記のリリースページから取得できます)
なお、この脆弱性の影響を受けるのはWindows版のみで、LinuxとMacintoshプラットフォームには影響しません。"
日本語記事 (スコア:3, 参考になる)
http://jt.mozilla.gr.jp/security/shell.html
shellプロトコル (スコア:3, 興味深い)
2000年、conconの少しあとくらいだったでしょうか。
あまり話題にはなりませんでしたが。
ちなみに内容は、Win2k+IE5でshell://...を指定すると落ちる、というものです。
今ではこの問題は修正され、shell://は、指定すると問答無用ではじかれます。
Re:shellプロトコル (スコア:3, 興味深い)
ユーザーの誤変換をフィードバックするとか言ってますけど、
パスワードとかネットに流れそうですが、キーロガーですね
#所詮チャネラーの言葉が集まるだけだと思うが
#ま、新たなトラブルの予感
Re:shellプロトコル (スコア:2, 興味深い)
多分IEを立ち上げられる。
そうなるとMozillaを使っていようが何しようがIEの脆弱性に引きずられてしまう。
昔、Netscapeで特定のWebを見ているとNNの中でIEが起動していたのでNNでIEの機能をプラグインのように使えないかと試行錯誤をくりかえしていたけど、そういう事だったのか。
# 実験はしていないので確証なしのAC
どっちかつt-と (スコア:2, 興味深い)
誰だshell:なんて作ったのは。
Re:どっちかつt-と (スコア:0)
そんなに安易にMozillaの問題の責任を Windows になすりつけて
大丈夫ですか?
Re:どっちかつt-と (スコア:5, 参考になる)
Windowsのレジストリには拡張子の関連付けと同様に任意の
URL schemeにアプリケーションを関連付ける機能が存在する。
IEやMozilla等のブラウザは自身で処理できないURLに遭遇した
場合、この情報を利用して外部のアプリケーションを起動する。
この機構が存在する事でブラウザは自身にとって未知の、
mms://やed2k://の様な外部のアプリケーション独自の
schemeを持ったURLを問題無く開けるようになっている。
この性質により独自schemeのURLに関するセキュリティは
レジストリの関連付けの安全性に依存することになるが、
当然その関連付けは安全であることが期待されている。
しかしWindows自身が登録したshell:の関連付けは上記の
期待に反して安全では無かった。これが今回の問題の原因だ。
上記の「期待」に関してはIEも同様である為、危険なschemeを
レジストリに登録してやれば幾らでも新しい脆弱性が作れる。
IEが今回のshell:の影響を受けないのはそれが自分で埋めた
地雷であるからに過ぎず、他人の埋めた地雷は避けられない。
試しに以下の文書を参考に適当なschemeを登録してその
URLをIEやMozillaから開いてみるといいだろう。関連付け
次第でどんなアプリケーションでも起動できる事を確認できる。
Registering an Application to a URL Protocol [microsoft.com]
結論として、IEやMozilla等がこの問題を完全に
回避するにはレジストリの情報を信頼して外部の
アプリケーションを起動することを止めるしかない。
Re:どっちかつt-と (スコア:2, 興味深い)
WindowsのschemeハンドラにはWindowsなりのセキュリティモデルが規定されているのではないでしょうか。
そのschemeハンドラを使うからには、そのお作法に従って書く必要があるところ、従わなかった
という可能性はないですか?
類似の話として、独自メーラがHTML対応のためにIEコンポーネントを使う際に、そのセキュリティモデルを理解せずに作法に従わずに使用したため、Active Xコントロール等がマイコンピュータゾーンで動いてしまうという脆弱性が、昔ありました。
「Becky!」、「EdMaxフリー版」のセキュリティ問題対策版がリリース (99/07/06) [impress.co.jp]
Re:どっちかつt-と (スコア:1, 参考になる)
物だから、そういう呼び出しに対しても安全なschemeのみ
関連付け登録するというセキュリティモデルだった。
このモデルはshell:の存在によって破壊されたと言えるから、
ブラウザは外部のアプリケーションに関連付けられたURLを
開くときにユーザに確認するなどの事をするべきだとは思う。
Re:どっちかつt-と (スコア:1, 参考になる)
MacOS X 版にはありませんでした。
Linux は他の方お願い。
Re:どっちかつt-と (スコア:1, 参考になる)
Re:どっちかつt-と (スコア:1, 興味深い)
shell:を使えるのがMozilla だけだったら、やっぱり Mozilla が悪いんじゃないか。
Re:どっちかつt-と (スコア:1, 興味深い)
アドレスバーに"shell:windows"って入れてリターン叩いてごらん。
# MacやUNIXのIEだったらゴメン
オフトピなのですが (スコア:2, 興味深い)
みなさん、自分の気に入ったブラウザを支援して、安全性の強化に努めて行きましょう。
はっきりいって、いくつかの意見は気疲れする。覗かなければいいだけなのかも知れないけど。
Re:オフトピなのですが (スコア:1)
自分も気疲れします。
でも、そういう意見を述べることが好きな/.erも
いらっしゃるってことでしょう。
自分の好き嫌いだけを述べたコメントが嫌いって人もいますからね:-P
スラド効果? (スコア:1)
一方もじら組 [mozilla.gr.jp]の方はRINGサーバの為なのか快適と言えるほどではないかもですがすんなりDL出来ました。
影響範囲がWindowsだけ?ってことならとりあえずWindowsマシンの人に優先DLさせてもらえれば良いのでは?
#ってことで、Mac版のDLは後回しにしてます。
腐乱化…もといFlanker
Re:スラド効果? (スコア:2, 参考になる)
// block shell: protocol handler (bug250180)
pref("network.protocol-handler.external.shell", false);
Re:スラド効果? (スコア:3, 参考になる)
>// block shell: protocol handler (bug250180)
>pref("network.protocol-handler.external.shell", false);
もじら組にxpiが用意されている [mozilla.gr.jp]のでこちらを適用した方が簡単なのでは?
#やってることは殆ど同じみたいなんですけど…
腐乱化…もといFlanker
Re:スラド効果? (スコア:4, 参考になる)
もしも ftp.mozilla.org に繋がらないようでしたら、
ロケーションバーに about:config と入れて、
network.protocol-handler.external.shell の行をダブルクリック、
ダイアログボックスの入力欄を false にして OK をクリック。
これで同じことが出来ると思います。
#間違ってたらごめんなさい。
腐乱化…もといFlanker
Re:スラド効果? (スコア:4, 参考になる)
あ、ごめんなさい。無い場合は新規作成ですね。
右クリックして New → Boolean
で最初のダイアログで network.protocol-handler.external.shell と入れて OK をクリック。
2番目のダイアログで false と入れてクリック。
お詫びにテストページへのポインタを紹介。
この解説文を読んでからリンク先に飛ぶとテストできます。 [mozilla.gr.jp]
リンクが1つしかなければOK、4つリンクがあればNGってことらしいです。
#うまくいかない場合は修正パッチ [mozilla.org]の方を使ってください orz
腐乱化…もといFlanker
たったいまアップデートしてきました。 (スコア:1)
ついでにFireFoxも最新版へ・・・
LAN内LAN稼働中
なぜWindows版だけなの? (スコア:1)
しまったとも思えない。Windowsの開発環境や実行環境において「通常使っていること
が、実は危険なこと」ということが、たまたま発露したのだろうか?そこらへんがわから
ないので、教えてほしい。
今この記事を見たのが (スコア:0)
アップデートしなきゃ。
教えてエロい人 (スコア:0)
Re:教えてエロい人 (スコア:2, 参考になる)
Re:今この記事を見たのが (スコア:0)
どーしよ
Re:今この記事を見たのが (スコア:2, 参考になる)
もう一度試してみてはいかがでしょうか?
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:今この記事を見たのが (スコア:1)
0.8 でもパッチは適用できるのでは?
むらちより/あい/をこめて。
shellプロトコル (スコア:0)
Re:嫌味 (スコア:2, すばらしい洞察)
Re:嫌味 (スコア:2, すばらしい洞察)
1)IE の場合
脆弱性があるがセキュリティフィックスは出ていないのでブラウザを変えるとよい(かも)。
2)Mozilla の場合
脆弱性が発見されたが新しいバージョンが出ているので上げるとよい。
どちらも回避策を示しているんだから、言ってることは同じ。
# この程度の指摘もオープンソース厨とか言われるのかねえ?
Re:嫌味 (スコア:0)
IE5/6でエンバグ、セキュリティホール復活 [srad.jp]
フレーム詐称の問題はIE以外のWebブラウザにも [itmedia.co.jp]
厨であるかはともかく、盲信してれば何使っても一緒だと思うけどね。
Re:嫌味 (スコア:5, すばらしい洞察)
>フレーム詐称の問題はIE以外のWebブラウザにも
>厨であるかはともかく、盲信してれば何使っても一緒だと思うけどね
セキュリティフィックスが出てるのに当てないで放置していたら、放置した人が悪いって事になりますけど、IEの場合にはセキュリティフィックスが出なくて誰も対策出来ないから、使わないと言う選択肢しか残らないと言うのが問題なのでは?
そういう点ではMozilla等の方が既知の問題に対するパッチが出てる分マシなのでそっちを使いましょうと言う意見は悪くないと思います。
ただ、妄信してれば何使っても一緒と言う意見には同意。
今のところこれなら絶対安全ってやつは無いんですよね…
腐乱化…もといFlanker
一応中の人だが (スコア:1)
昔のバグが復活したということがこの記事の要点であり、「ほかのブラウザ使うといいよ~」とタレコミ文では全く言っていないのだが……。むしろマイクロソフトへの激励(?)文のような感じのものであると捉えていただきたいと。
# 確かに私が煽動的で誤導的なタイトルに流れがちなのは否定できないところではあるが
/.configure;oddmake;oddmake install
Re:嫌味 (スコア:0, 荒らし)
IE も Opera も Mozilla も盲信してむやみに他のブラウザを叩いているやつが自分たちの首を締めてると思う。
# むやみに叩いているのか、正しく(?)叩いているのか理解できないくせに
# 口をはさみたがるやつが多いのも困ったもんだがね。
Re:嫌味 (スコア:1, おもしろおかしい)
Re:嫌味 (スコア:0)
IEで問題があるとすぐに"Moziollaなどへの移行をお勧めする"って書くくせに、
Mozillaで問題が有った場合は何も書かないんだよね。
Re:嫌味 (スコア:1, 参考になる)
# Opera マンセーだがチャットのときは IE 使いなので AC
Re:嫌味 (スコア:1)
区別できません? じゃあ仕方ない。
Re:嫌味 (スコア:0)
単に脊髄反射で他のブラウザを貶めるレスが書きたいだけなんです。
先生!質問です! (スコア:1, おもしろおかしい)
Re:先生!質問です! (スコア:1)
を使うよりは安全じゃないかなぁ。
#完璧ではないけれど。
Re:嫌味 (スコア:0)
#判官贔屓は日本の文化?
Re:嫌味 (スコア:0)
Web閲覧やメールだけLinux機にするとか。
# Firefox on Cygwinはセーフなのかな?
Re:嫌味 (スコア:0)
Re:Opera7.52 (スコア:1, 参考になる)
コレ [impress.co.jp]を読め。
気がするだけじゃなくて、どぶにはまってる。
Re:Unix wayのまた一つの勝利!!!! (スコア:2, 興味深い)
がんばってますね (^_^;
「フレームの元」という評価がついちゃっていて、これだけではあんまりだと思うので、一応 おいらの日記 [srad.jp] の中で行なわれた やりとり [srad.jp] を紹介しておきます。この中で、 romfffrom さんの、安全性という面でも競争が行なわれるべきと言う主張は、少なくともおいらはなるほどと思わされました。
むらちより/あい/をこめて。
Re:Unix wayのまた一つの勝利!!!! (スコア:1)
利便性が下がることを理由に放置し続けたMSの自業自得
たぶん、次の次のバージョンぐらいのWindowsで解決するんじゃないかねぇ
#なんでアップデート専用ソフトっていう手段が思いつかないんだろう。
Re:0.9.2入れたんですけど (スコア:3, 参考になる)
0.9.2をインストールしたんじゃないですか?
0.8のゴミが残ってます。
一度、FireFox0.8 0.9.2ともに
コントロールパネルからアンインストールして
さらにFireFoxのディレクトリも手動で削除してから
0.9.2をインストールすればOKですよ
ユーザーアカウントは別ディレクトリなんで残るはず・・・
#同じミスやったけどID
LAN内LAN稼働中
Re:毎回思うのですが。 (スコア:2)
>どういった機能があるかも知らないで使ってしまって失敗とか、
>Windowsの作法に従ってなくて失敗ってのが多くないですか?
具体的な数字で語らず印象だけでモノ言っても説得力ないです。
その根拠のなさが叩かれる原因なので、思考法を変えるか、いっそ
永遠に宇宙をさまよいつつ考えるのをやめるしかありません。
自分が調べたところでは、例えばMozillaでWin32環境での大きい
問題は今回のと、インストールで削除できないディレクトリが
作られてしまうことがあったとか、そんな程度しかないっぽいですね。
他も移植で問題が起きるよりは全プラットフォームで出るバグのが
圧倒的に多いでしょう。
まぁ10分程度ざっと調べただけなので漏れはあるとは思いますが。
あと、Mozillaは最初からクロスプラットフォームを念頭においた
開発をしているので、「移植もの」という表現は適当できない
のではないかと。それ言うならクロスプラットフォームでは。