パスワードを忘れた? アカウント作成
10808 story

Firefox にバッファオーバーフローによる新たな脆弱性 121

ストーリー by yoosee
自分の身は自分で守る 部門より

silvervine 曰く、 "Mozilla の最新バージョンを含む複数の製品に、バッファーオーバーフローによってブラウザのクラッシュ、及び場合によっては任意のコードが実行されかねない脆弱性が公開されたとの記事が mozillaZine.org に掲載されている(参考訳)。この問題の影響を受けるのは最新版の Mozilla Firefox 1.0.6 と Mozilla Application Suite 1.7.11、さらには二日前に公開されたばかりの Mozilla Firefox 1.5 Beta 1 も含まれる。

この脆弱性は、ソフトハイフンを含む長いリンク文字列を処理する方法に起因しており、Mozilla Foundation/Mozilla Japan からはこの問題を暫定的に回避するためのパッチが公開されている。

問題の発見者は、一旦は Mozilla Foundation が定めるセキュリティバグポリシーに従って報告したものの、Mozilla のスタッフと「接触した後」に問題を広く公開すると決心したとのこと。どうして彼が翻意して、問題を公開しようとさせたのか気になるところだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • > どうして彼が翻意して、問題を公開しようとさせたのか気になるところだ。
    今回バグを公開したTom Ferrisは、IEのバグについても、MSとやり合ったことがあるみたいです。Bug hunters, software firms in uneasy alliance [com.com]に書かれています。
    bag hunterはユーザに危険を周知させるためにできるだけ早い公開を主張し、software firmsは対策が完了する前に公開すれば攻撃者のエサになるばかりだから、しばらくは秘密裏に作業させてくれと言う。
    今回も、同じようなやり取りがあったのではないでしょうか。
    --
    Your 金銭的 potential. Our passion - Micro$oft

    Tsukitomo(月友)
  • 手動での回避策 (スコア:5, 参考になる)

    by silvervine (12840) <{silvervine} {at} {gmail.com}> on 2005年09月10日 12時21分 (#797129) 日記

    この問題は要するに IDN のサポートを停止すれば良いので、Mozilla Foundation/Mozilla Japan が提供しているパッチを適用しなくても、簡単に回避設定できます。

    1. ロケーションバーに about:config と入力する
    2. フィルタリング機能を使って network.enableIDN を呼び出す
    3. Valuefaulse にする(文字列をダブルクリックすれば値が変わります)

    取り敢えずはこれで問題を回避できます。

    --
    はてな支店 [hatena.ne.jp]
  • なんとも単純な (スコア:4, 参考になる)

    by deleted user (19654) on 2005年09月10日 12時25分 (#797133) ホームページ 日記
    今回の脆弱性を exploit する方法は非常に簡単のようで、
    https:---------------------っていうだけです。

    workaround も非常に簡単で、IDN を無効にするだけですから、
    即刻対処しましょう。
  • 一般論 (スコア:2, すばらしい洞察)

    by vn (10720) on 2005年09月10日 11時56分 (#797119) 日記
    脆弱性を見つける能力があるからと言って、
    見つけた脆弱性問題を適切に処理できる能力があるとは限りません。

    とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。
    • Re:一般論 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2005年09月10日 21時13分 (#797275)
      >とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。

      違います。重視すべき点ですよね。
      #MSには厳しく、Mozilla Foundationには優しくの典型的な
      #意見だな。

      それが正しい判断かどうかは、公表してしまった後はどうしよも
      なくなりますが、まだ修正されていない状況で詳細を
      悪意の第三者を含む範囲に公表することの問題があります。

      中には、IEの開発元であるMSに全くコンタクトもとらず、
      はじめから投げやりな考えで脆弱性を公表し、exploitまで
      公表しちゃうアホもいましたが。

      脆弱性問題を適切に処理するのは開発元のお仕事ですが、
      発見者が報告したときに開発元が示した対応・態度によって
      公表しなくてはきちんと修正されないと考えられることが
      まれにあります。

      報告した問題を開発元が矮小化して公表したり、あるいは
      開発元は問題ではないと判断したり、最悪の場合は一切何も
      ユーザには公表せずにこっそりと修正するケースもあります。

      この発見者がどのケースに当たるのか興味のあるところです。
      親コメント
      • by vn (10720) on 2005年09月10日 22時36分 (#797287) 日記
        >とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。

        違います。重視すべき点ですよね。
        #MSには厳しく、Mozilla Foundationには優しくの典型的な
        #意見だな。
        違います。発見者がパッチ提供に先立って公表したという事実
        重要であり、この問題の解決にも影響を与えているでしょう。
        しかし、それに至った判断の重み付けは別の問題です。

        たとえば判断力のない中学生だったとしても、知り得たことを
        不用意に公表するという事実を作ることは出来るからです。
        その中学生の偶発的な判断に基づいて、開発元の姿勢や体質を
        占うというような愚は避けなければなりません。
        それと同じことが、今回のストーリーについても言えます。

        今回の Tom Ferris 氏の場合、脆弱性を公表するにあたっては
        自身のウェブサイトに記事を載せた訳ですが、その記事への
        コメントを全部非公開扱いとした、ということが伝わっています。
        脆弱性を見つける能力があっても、そういうことをする人もいるのです。
        親コメント
  • by chute (19365) on 2005年09月10日 18時18分 (#797236)
    > 1. Firefox または Mozilla Suite をお使いの方は、以下のアドレスをロケーションバーにコピー&ペーストして Enter キーを押してください。
    > http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi

    書かれてる通りにやっても、なんも出ません。なぜだろう?
  • by hctom (8713) on 2005年09月10日 13時21分 (#797152) ホームページ 日記
    1.0.5のときのようなことがおきませんように。
  • by Anonymous Coward on 2005年09月10日 15時54分 (#797190)
    Fedora Core 3および4にFirefoxとMozillaのアップデート来た。
  • こういう脆弱性ってどうやって発見してるのか、すごく興味有ります。特にソースコードが公開されていないようなプログラムの場合。自分の書いたデーモンのソースコードを見直してみて、こりゃやべ~と気づいて修正した、などということはありましたが、まったく手探りでどうやって発見しているんでしょうか。

    ICEで注意深くトレースしているんでしょうか?デバイスドライバの開発で使うことはありますが、その延長で、でっかいバイナリをこつこつとリバースエンジニアリングして発見してるんでしょうか?IEの脆弱性とか発見する人たちは。
    --
    屍体メモ [windy.cx]
    • ・「長い入力なんて絶対無いだろ」と思っている入力に対し,とり
      あえず異常に長い入力を喰わせておかしくならないか見てみる.
      ・「文字しか入力しないだろ」って所に変なバイナリデータとか突っ
      込んでみる.
      ・入力ファイルは**って物だろって所に別な物を投げ込んでみる.

      等々,開発者が「ここの入力は○○だ」と想定している(というか
      無意識にそれ以外の可能性を排除している)部分に違うものを叩き
      こむのが基本じゃないかと.で,バッファオーバーフローを狙う.
      あとは動作の推測ですかねえ.「ここで拾ったデータをこれと組み
      合わせて次のこの処理に流しているはずだから,こういうデータを
      入れると変なもんが実行されるんじゃないか?」とか.

      エレベータ等の組み込み機器のハックとか,街頭端末のハックとかと
      似たような感じなのかなあと思ってみたり.
      #前者は組み込んであるコマンドを探り当てるんでちょっと違いますが.
      親コメント
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...