MozillaにSSL証明書偽装の脆弱性 71
ストーリー by Oliver
直したらユーザの手元に届けないとね 部門より
直したらユーザの手元に届けないとね 部門より
kamuy 曰く、 "cipherのアドバイザリとSecuniaのアドバイザリによると、MozillaおよびMozilla Firefoxにて、SSLによる暗号化通信のための証明書を偽造してなりすまし(いわゆるPhishing詐欺)が可能となる脆弱性が確認されたとのこと。キャッシュの仕組みに問題があるらしいのですが、コレが成功すると「鍵」アイコンも表示されてしまうというモノのようです。未だにmozilla本家でも特に告知はなされていないようですが、現在のところ対策パッチ等は出ていないらしいので注意が必要です。
(CNET Japanの記事, 窓の杜の記事)"
Mozillazineによるとバグ#253121は修正済だが、このパッチを含むバージョンはリリースされていない。
UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)
Firefoxのテストケース [nd.edu]見る限りでは、何でもあり状態…
これもNightlyでは修正済みの模様 (スコア:3, 参考になる)
信頼できない外部サイトからローカルのchromeを参照させない [mozilla.org],
という各論部分に関しては既にResolved Fixed.
むろんMilestoneはまだですが,今回の話題の問題の修正された版では
こちらも修正された状態で出るかと.
gy0
Re:UI偽装の脆弱性もありますぜ (スコア:2, 参考になる)
http://pc5.2ch.net/test/read.cgi/software/1090992937/127
> user_pref("dom.disable_window_open_feature.location", true);
> を user.js に仕込んでおけば window.open で
> アドレスが隠されることはないから spoof に対して最低限の予防になる。
>
> user_pref("dom.disable_window_flip", true);
> user_pref("dom.disable_window_move_resize", true);
> user_pref("dom.disable_window_open_feature.menubar", true);
> user_pref("dom.disable_window_open_feature.minimizable", true);
> user_pref("dom.disable_window_open_feature.resizable", true);
> user_pref("dom.disable_window_open_feature.scrollbars", true);
> user_pref("dom.disable_window_open_feature.titlebar", true);
> user_pref("dom.disable_window_open_feature.toolbar", true);
> user_pref("dom.disable_window_open_feature.status", true);
> この辺もやっとくのが吉。
というものがあるようです。参考まで。
とりあえずの対策 (スコア:2, 参考になる)
で、えむもじらによると だそうです。
# オタではないけど、Mozillaユーザとしての第一声を挙げてみた。
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re:とりあえずの対策 (スコア:0)
「プラグインONの状態で閲覧する時は、いかなるブラウザであろうと
よく解らないサイトに立ち入らない」で対策できるのでしょうけどw
Re:とりあえずの対策 (スコア:1)
あれば、普段は全部 OFF で、いるものだけ ON にするんだけど。
Re:とりあえずの対策 (スコア:0)
そんな法則聞いたこと無いけど。ていうか見られない・先に進めないページ続出で不便ジャン。
1.8系では? (スコア:1)
Re: Warpzilla 1.8a3 nightlyでは (スコア:2, 参考になる)
Mozilla 1.8a3 Nightly
Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8a3) Gecko/20040729
では修正されているのを,たった今確認しました。(^^;
たぶんマイナーアップデートをリリースするより,次の1.8alpha3できちんと修正する方にしたのでしょう。でも次のリリースの見通しは立たなくても,せめて告知くらいはしてほしいなあ>Mozilla.orgさまっ
# もしやMozilla.orgには,人手と予算が足りないのか?
# 半月前に頼んだMozilla Tシャツもまだ届かないし(それは違うかも)
Re:Warpzilla latest-1.4.2でも修正済み (スコア:2)
Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.4.2) Gecko/20040730
こちらも修正されていました。ただOS/2版FireFoxにはnightlyがリリースされないので,FireFoxについては不明です(言い訳モード)
タレコミ文の誤り (スコア:1)
なにいっているのかさっぱりわからない (スコア:0)
Re:なにいっているのかさっぱりわからない (スコア:3, 参考になる)
Re:なにいっているのかさっぱりわからない (スコア:0)
Re:なにいっているのかさっぱりわからない (スコア:1, すばらしい洞察)
Re:なにいっているのかさっぱりわからない (スコア:0)
# ログインしすぎでM1貰えないのでAC
形式だけは真似てみましたが、 (スコア:3, おもしろおかしい)
絵でみる…は「わかりやすい」と言うよりは「何もわからない」物だと思うのですが、形式だけ真似てみました。内容はテキトーなので信用しないでください。もちろん絵はありません。
> どんなことをするとあぶないのか
は、「どんな風に攻撃されるのですか?」を見て…も、ほら、わからないでしょ?(違
----
絵でみるセキュリティー情報
Bug#253121
ウェブブラウザ用のセキュリティー更新
登録日:2004/08/02
更新日:2004/08/02
どの製品を使っている人が関係しますか?
下記の製品を使っている人が関係します。この情報をよく読んで、修正されたプログラムをインストールしてください。
・Mozilla 1.4.2
・Mozilla 1.7/1.7.1
・Mozilla 1.8a2
・Mozilla Firefox 0.9.1/0.9.2
使用しているウェブブラウザのバージョンはメニューの[ヘルプ(H) ][製品名 について] で確認してください。
注意:製品名には Mozilla などの製品名が記載されます。
どのくらい危険な問題ですか?更新プログラムはインストールした方が良いですか?
|注意|警告|重要|**緊急**|
低←----------------→高
(AC注:決して信用しないでください。鉛筆を転がして決めました。)
このページの登録時には直接の被害はまだACには報告されていません。ACの転がした鉛筆はこの問題が悪用される可能性が高いと考えています。修正バージョンがリリースされたら、すぐに対策することをお勧めします。
このセキュリティー問題の危険性(深刻度)は緊急レベルです。
修正バージョンがリリースされたら、すぐに対策をしてください。
各レベルの違いについての詳しい説明は こちら [microsoft.com] へ
どんな風に攻撃されるのですか?
Webページに危険なプログラムを忍ばせます。→Webページを見ると攻撃を受けます。
(AC注:つまり、鍵のかかったアイコンが不正に表示される段階の事を言っています。)
注意:ここに挙げたものは想定される一部の方法ですので、ご注意ください。
攻撃されると、どんなことが行われますか?
クレジットカード番号やパスワードなどが盗み見られます。
注意:これは考えられる被害の一部です。
対策するには、どうすれば良いですか?
Mozilla Foundationから修正されたプログラムがリリースされたらダウンロードしてインストールします。
Mozilla Foundation [mozilla.org]から修正されたプログラムがリリースされたらダウンロードしてインストールしてください。
(AC注:あるいは、修正されたナイトリービルドをインストールしてね。)
ダウンロードとインストールの手順については、はじめての Mozilla 1.4 第二部 [mozilla.gr.jp]を御覧ください。
コンピュータをより安全に利用するための基本的なセキュリティ対策方法については こちら [microsoft.com] へ
修正されたプログラムが正しくインストールされたことを確認する方法は?
メニューの[ヘルプ(H)][製品名 について]で、修正されたプログラムが正しくインストールされたかを確認することができます。
注意:製品名には Mozilla などの製品名が記載されます。
(AC注:shellblock.xpiみたいな修正って「about:configから…」とか言わなきゃいけないから面倒だね。)
操作手順については通常のメニュー操作の手順に従ってください。
もう少し詳しく知りたい方は・・・
タレコミにあるリンクをたどってね。
Firefox 0.9.3 (スコア:1)
Firefox 0.9.3が来てます。
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.3/ [mozilla.org]
MozillaZine Forumsのスレ [mozillazine.org]によると、
> Fixes are:
>
> Bug 253121 - lock icon and certificates spoofable with onunload document.write
> Bug 249004 - Importing false CA certificate leading to error -8182 (perm DoS), especially exploitable by email
> Bug 251381 - new libpng buffer overflow vulnerabilities
> Bug 250906 - null (%00) in filename fakes extension (ftp, file)
とのこと。
また、UAがGecko/20040803となっています。
"Stupid risks are what make life worth living!" -- Homer Simpson
まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)
僕は Emacs の中で暮らしている人間なんで
日常の生活ではこの Web browser
(Text browser) が欠かせません。
これなしでは生きていけませんね。
みなさんにもお勧めしますよ。
w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:2, 参考になる)
emacsワームがなぜ存在しないのか? [xrea.com]
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
ずれてない?
IE だって Mozilla だって個人用の設定可能だし、俺はデフォルトの
設定から変更しているけど、それでも脆弱性の影響は受けているよ。
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1)
ただ、参照先の主旨は、多様であることが、危険に対する保険になり得るということで、そういう意味では極端にずれてはいないでしょう。
ましてや、IEやMozillaの設定と.emacsでは比較対象にならないと思うんですが。
# 間違ってるかなー??
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:0)
それはそれで正しいと思います。まぁ結果的にたまたま多様に
なっただけで、emacs と xemacs なんてわかれない方がいいと
個人的には思いますけどね。
> IEやMozillaの
Re:w3mに任意のEmacs-lispコード実行の脆弱性 (スコア:1, 参考になる)
といった感じで、 emacs-w3m や navi2ch (emacs で動く 2ch ブラウザ) から実行させようとする書き込みがされたことがありました。実際に実行しちゃった人もけっこういたみたいです。2chの削除依頼 [2ch.net]
Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:1, すばらしい洞察)
切り詰めてしまう不親切な仕様を放置している /.J そのものが、
フレームの元だよな。
Slashdot Japanの仕様 (スコア:0)
OliverさんにSlashCodeのハッキングをお願いしたいな・・。
Re:Slashdot Japanの仕様 (スコア:0)
今のバージョンのバグは放置すると取れる発言 [srad.jp]が過去にありましたね。
で、移行は何時になるかは永遠の闇。 [srad.jp]
まったくどの Web browser も次々に脆弱性が発覚しま (スコア:0)
とか、プレビューの段階では見れるのに、
投稿したら切れちゃったんですね。おそらく。
#先日、俺もやってしまったので
Re:まったくどの Web browser も次々に脆弱性が発覚し (スコア:2, すばらしい洞察)
Re:ウルセー氏ね (スコア:1, 興味深い)
ま、それは冗談ですが。
プレビュー時にはきちんと表示されてしまうバグに対して
利用者が簡潔に書かないからだってのはいささか筋違い。
今回の件を「インターネットは清く正しく使うべき」という
理想論で解決済みにするようなもんだ。
表面化してるバグを利用者責任にして放置するのは、
オープンソース特有な馴れ合い体質のなせる技でしょうかね。
企業(敢えてMSと特定せず)の脆弱性放置を批判できないなあw
一応出てはいる.言い訳にすべきではないが. (スコア:3, 参考になる)
なので,「修正版は一応出ているがエンドユーザ向けリリースではない」 [dyndns.org](記事にリンクされてるMozillazine記事 [mozillazine.org]の和訳)といった方が適切ですね.
Oliver氏がフォローしてくれたのは良いんだけど,一言足りないんだな.
まぁ,「エンドユーザにもNetscapeじゃなくMozilla使わせましょう」っていう
今のMozilla.orgの方向からすると,
エンドユーザ向けリリースやトップページでの告知が無い,
というのはお粗末でしょう.
#MSは大嫌いだけど,最近のゴタゴタ以降Mozilla関係者も好きになれないのでID
gy0
Re:一応出てはいる.言い訳にすべきではないが. (スコア:1, 興味深い)
なんでエンドユーザ向けリリースにしないのでしょ?
そこら辺が謎だなあと思っちゃうわけで。説明無いよね。検証に手間がかかってるとかそういう理由じゃないよね。
# 物が出ることより説明があることの方が大事なときもあるかもしれないなんて言ってみる
Re:一応出てはいる.言い訳にすべきではないが. (スコア:1, 興味深い)
まさしく検証に手間がかかっているんだと思いますが。
nightlyではlatest-0.9なビルドがせっせと作られてます。
あなたの手助けを待ってるんですよ、きっと。
# 説明があった方がいいという意見には同意します。
Re:一応出てはいる.言い訳にすべきではないが. (スコア:1)
毎晩作成されるあれを「リリース」ちうのは誤解を生みそう
というか、抵抗があるというか。
お粗末、というのには同意です。
バイナリパッチを当てれるようになればいいのかも。
余談ですが私はfirefox+thunderbirdを使っているので
nightlyはmozilla suiteで遊んでいます...
Re:Mozilla Security Advisoryの改善を (スコア:2)
むしろマイナーアップデートを繰り返すよりも,ここはじっくり腰をすえて改善して,次のマイルストーンで万全を期してほしいと思います。今回の問題は,どっかのブラウザのように,ブラウザで閲覧しただけでマルウェアが仕込まれるとか,そういう緊急の問題ではないと思うので。
ただここで多くの方々がコメントしてくださっているように,mozilla.orgが回避方法などの告知をきちんとした形で行なう必要があるとも思いました。現在のMozilla Security Advisory [mozilla.org] (日本語訳) [mozilla.gr.jp]は,修正版がリリースされてから発表されているようなので。こちらの更新タイミングを改善するか,トップページのニュースで告知するようにするかしないと,
といううたい文句がおかしくなってしまうような気がします。バグの無いソフトは無理と (スコア:1, すばらしい洞察)
オープンソースが果して本当にバグフィックスを素早く行なえるか試されていると言ってもいいでしょう。
# 八カ月までの放置ならいい、と言っているわけではない。
## 別にMozillaヲタではないのでAC
Re:バグの無いソフトは無理と (スコア:2, 興味深い)
Mozillaって未だに、フルセットでないとアップデートできないの?
日本語パックとかをDL、インストールって機構があるのだからいずれは出来ると思ってたんだけど…
アップデートをWindowsUpdateのような感じで配布できればもっと早くリリースできると思うんだけど?
#Operaもそういうアップデートが出来るようにならないかな…?
天琉陳(Teruching)
Re:バグの無いソフトは無理と (スコア:1)
WindowsUpdateのような機構で無くても、モジュール単位でのアップデートが可能ならすぐ出せるし、ネットワークの負荷も毎回フルセットをDLしなくて済みますしね。
天琉陳(Teruching)
お目出度い、Microsofの速い修正はね (スコア:1, すばらしい洞察)
Re:1ゲッツ! (スコア:0)
てなコメントくらいは欲しいですね。
哀れみのフォロー (スコア:0)
・・・・・・Fishing(釣り)してるんじゃないですよね・・・
この1getし損ねた方・・・・
# ずっとPhishingではなく、Fishingだと思い込んでたので恥ずかしくてAC
幸せですね (スコア:0)
Re:モジラを使用していて思ったけどさ (スコア:2, 参考になる)
普通のページではIEとfirefoxに有意な差は感じられない。
非常に巨大で縦に長いページではIEの方が2倍ほど速い。
読み込み完了後の順方向スクロールの速度はどちらも同じ。
逆方向スクロールの速度はfirefoxの方が2倍ほど早い。
(スクロールはPageUp/PageDownキーを用いてを行った)
巨大なページを読み込んだ状態でのテキストの選択は範囲が
狭い場合はfirefoxの方が、範囲が広い場合はIEの方がそれぞれ
反応がよい。ちなみに選択解除はどちらも同程度の反応速度。
ということでfirefox/geckoのレンダリング性能には
まだ改善の余地があるように思える。比較はIE6 SP1
(Q867801), Mozilla Firefox 0.9.2を用いて行った。
Re:モジラを使用していて思ったけどさ (スコア:1)
IEがもひとつ弱いのは、ネットワークが遅い環境かな。
AirH"上でVPN接続なんてのを日常的に使ってますが
ちょこっと通信が不安定になると、OS等等巻き込んで
しばしフリーズしてくれます。ちょっと待って通信が
安定すると、直るんですが。
MS Office系も一緒に巻き込まれますんで、数十秒間
なーんもできなくなったりします。
構造上しょうがないとはいえ、ちょっとねー
Re:モジラを使用していて思ったけどさ (スコア:1)
IEだと、映像が時折止まる事が多い気がする。Mozillaだとそうでもないのだけど。
IEとMediaPlayerを同時に動かすとなんかあるんだろうか?うーん。
--
「なんとかインチキできんのか?」
Re:モジラを使用していて思ったけどさ (スコア:0)
のこと?
Re:モジラを使用していて思ったけどさ (スコア:0)
正直、使い比べても差がわかりません。
Mozillaの起動時間が遅いのは感じますけど。
# とかいいつつやっぱりぷにる使い。
Re:こう言うときだけ静かなMozillaオタ (スコア:1)
てめぇで使ってるソフトの不具合で大騒ぎするんだったら、
ココで騒ぐより直接言った方が早いですもの。
--
「なんとかインチキできんのか?」