パスワードを忘れた? アカウント作成
13561 story

「Firefoxの0-day脆弱性」はガセネタだった? 50

ストーリー by yoosee
あらららら... 部門より

昨日掲載された「FirefoxにJavaScript処理に関する 0-day の脆弱性」 という記事だが、CNET Japan の続報 や本家記事 Firefox Zero-Day Code Execution Hoax? によると、実際にはマシンの乗っ取りは出来なかった、とのこと。この脆弱性を公開した Spiegelmock 氏は Mozilla のWebサイトへの投稿の中で、 「このコードでできたのは、Firefoxをクラッシュさせることと、システム資源を消費しつくすことだけだ。これで誰かのコンピュータを乗っ取り、任意のコードを実行するには至っていない」と告白している。同氏は「話を面白くしたいと思って、あのような話をしてしまった」と謝罪しているとのこと。また「30の未修正脆弱性を知っている」としたことについても、もう一人の Wbeelsoi 氏が言っていた事であり Spiegelmock 氏は(真偽を含めて) 詳細を知らないそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 鳴り物入りで登場した程の破壊力のある脆弱性は
    無いものの、DoS脆弱性はあるわけですよね?
    そう考えると、引き続き警戒しておいた方が無難では
    ないんでしょうか。

    ブラウザをクラッシュさせたり、リソースを
    消費し尽くしたりする攻撃はDoS攻撃として
    通用します。従って、この手の問題もDoS攻撃可能な
    脆弱性として発表されるべきものだと思います。
    また、彼等の発表ではこの脆弱性を攻撃することで
    DoS攻撃をするところまでしか出来ていませんが、
    原因が解明されたわけではないのでここで安全だと
    思ってしまってはいけないと思います。
    • by masakun (31656) on 2006年10月04日 15時41分 (#1031526) 日記
      ガセだったからといって、だれも安全になったとは思ってはいやしませんよ。脅威でない研究者が大騒ぎを起こしたってだけで、ホッとしてますよ。

      airheadさんのコメント [srad.jp]によると、

      これを受けてMozillaセキュリティチーフのWindow Snyderは、「彼はそう述べてはいるが、我々は重く受け止めており引き続き調査を進める」としています。

      あー、またアップデートするんだろうな>Firefox
      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
  • by Anonymous Coward on 2006年10月04日 15時39分 (#1031524)
    人類が今後もエンバグを続ける限り、第二第三の脆弱性が現れるかもしれないのだ。
  • やっぱりFirefoxはIEより (スコア:3, おもしろおかしい)

    by masakun (31656) on 2006年10月04日 14時10分 (#1031454) 日記
    素晴らしいブラウザだ。
    --
    モデレータは基本役立たずなの気にしてないよ
  • Firefoxって基本的にGecko(XPCOM?)を介さないとローカルにはアクセスできないですよねえ。
    仕組み的にマシンの乗っ取りは難しいんじゃないかと思ってましたが、そういうことでしたか。
    • by Anonymous Coward on 2006年10月04日 19時02分 (#1031674)
      こういう文脈で言った場合は、外部からの「任意スクリプトの実行」のことを「乗っ取り」って言うんだと思いますよ。大まかに言うとスクリプト権限のチェックは

      ・chrome( = 窓枠 = Firefoxそのもの)か content( = 窓の中身 = 外部由来のHTMLなど)か
      ・2つのcontentのデータが同一サイト(と見なせる)かどうか

      の2種類あって、前者を破られると「乗っ取り」、後者を破られると「クロスサイトスクリプティング(XSS)」が発生します。テーマ、拡張は基本的に「窓枠」の方の機能を増設するものなので、なんでもあり、なのです。

      これとは別に、いわゆるプラグインはFirefoxの実行バイナリと同じファイル権限を持っています。もはやスクリプトでも何でもないので上記の2つと比較は出来ません。

      仮にFirefoxが完全無欠だったとしても、これらのアドオン3種は権限が強いので、故意あるいは事故によって、セキュリティに穴を空けてしまう危険があります。うっかり脆弱なテーマを作ってしまうことはないと思いますが、故意に危険なコードを挿入されたテーマ、というのはあり得ます。逆に、サイドバーと検索プラグインはアドオンとは言え、同じ仮定の下ではどうあがいても安全です。

      話を元に戻すと、Firefox単体で外部スクリプトにchrome権限を取られた事がないのか、というとあります。一番最近のやつは2006-43 Privilege escalation using addSelectionListener [mozilla.org]ですね。この"Privilege escalation"というのは、まさに外部スクリプトにchrome特権を与えてしまったという意味です。

      例えば、window.open("http://www.example.com");というようなありふれたスクリプトを考えてみると、実は内部的に、nsIDOMWindowInternal::open(..)というXPCOMメソッドが呼ばれています。つまり、引数である"http://www.example.com"という外部スクリプトデータは、XPCOMレベルまで到達できるからこそ、新しい窓を開くという大胆な振る舞いが可能なのです。そして、元のwindow.openというコードが安全なのは、window.openからnsIDOMWindowInternal.openに至る経路上における権限の使い方が正常だからなのです。MFSA 2006-43のケースは、addSelectionListenerの引数を巧妙にすれば、外部スクリプトをchrome権限実行環境まで忍び込ませることが可能だった、というわけですね。

      #今、この騒ぎのとばっちりで、公開済みのセキュリティバグもも閲覧できないようになっています。

      但し、今回の件はこれらの背景とは全く関係のないスタックオーバーフローによるクラッシュです。CNETによると、彼らは「ソースが汚い」と文句を言っていたそうですが、私の推測では、単に彼らがどこでクラッシュしているのかカンファレンスまでに発見出来なかったので、ソースの所為ににしたと言うのが真相だと思います。なまじ分からないものだから、「乗っ取り」まで話が膨らんだのでしょう。実際、JSの仕様はともかく、実装はきれいなもんですし。

      何にせよ、ブラクラが一つでも減るというのは喜ばしいことです。報告の経緯は少し異常でしたが、ほとんどのバグはソースを読まない人によって報告されているわけで、ともかく再現性のある環境まで持ってこれたのは彼らのおかげですから。
      親コメント
    • 不勉強で Firefox の実行基盤技術 XPCOM (?) の中身がなんたるかを理解していない Livingdead ですが、つまるところ ActiveX の何でもあり度よりは制限が付いていて安全、ってことですか?
      --
      屍体メモ [windy.cx]
      親コメント
  • 避難訓練 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年10月04日 16時05分 (#1031541)
    としては、まあちょうど良かったかな。
    要は Firefox だからって盲目的に安心すんなよ、ってことで。

    # 一部では非難訓練ぽかったのはおいといて
  • by Cappuccino (20281) on 2006年10月04日 19時22分 (#1031689)
    脆弱性発見? [srad.jp]のときに対策として自分が書いたこと [srad.jp]について補足。

    今回はガセだったけど、だからといって未知の脆弱性がないとか、今後発見されない保証はどこにもないわけですよね?
    なので、普段から、スクリプトやら何やらの機能は必要なとき以外切るとか心がけるべきでしょうね。

    絶対的に安全なブラウザなんて存在しない、比較的マシなだけなんだってことは理解しておくべきでしょう。
    #特に、人に勧めるときはその辺も含めて説明するべきでしょうね。IEからFirefoxに変えたら絶対安全だと思いこまれるのが一番危ない。
    • >今後発見されない保証はどこにもない

      ハイハイIEにもありませんね。

      >絶対的に安全なブラウザなんて存在しない、比較的マシなだけ

      そんなのIEしか知らないようなレベルの人に説明したら、Firefoxを過小評価されるのがオチだと思いますけどね。

      それよりむしろネット上にはセキュリティホールを研究して、見に来た人のパソコンを攻撃する悪質なサイトがあるってことは説明しておいたほうがいいと思う。

      milw0rm.com [milw0rm.com]みたいなExploitデータベースなんかを見せてもいいかもね。できればMicrosoft Internet Explorer WebViewFolderIcon (setSlice) Exploit (0day) [milw0rm.com]のデモページを体験してみるのもよいかと(w

      で、今のところ一番攻撃されやすいブラウザはIE6でね(ここが肝心。笑)。

      最近のIEの攻撃例 :-)
      Windowsにゼロデイ攻撃を受ける深刻な脆弱性 [srad.jp]
      (WMFの欠陥をつくコードは発見される数週間前から4000ドルで取引されていたという)
      まだパッチのないIEの脆弱性にゼロデイ攻撃 [srad.jp]
      (こっちはタレコみが採用された時点で終息していたらしいけど。笑)

      その上でWindowsUpdateの必要性とか、防御のひとつとしてJava Scriptを無効にする方法を説明してあげたらいかがでしょうか。Firefoxなんてcoolなブラウザもあるんだけど、これだとadblockで煩わしい広告バナーもブロックできるから、IEよりはるかに便利だよってね。

      ところでFirefoxユーザーが実際にゼロディ攻撃された事例があったら教えてほしいですね。

      # Firefox Tシャツを着ているのでID

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • なんだかよく分からないけど、adblock使ってるなら広告収入で成り立ってるページは一切見ないで下さい。
        広告見てくれないあなたに提供するリソースは1ビットもありません。

        > ところでFirefoxユーザーが実際にゼロディ攻撃された
        > 事例があったら教えてほしいですね。

        こういう考えをするやつが情報収集能力だけでセキュリティを語るから、こんな酷い状況になってるんだよなあ....
        自覚が無いだけに余計たちが悪い。
        • オマエモナ、せめて情報収集してからコメント書いてくれ(w

          はぁーWMFの攻撃とか突っ込みどころ満載なのに、ホントつまんないところで批判終始ですか(w

          #1031874のACさんの程度(理解度)が知れますな

          # ダイヤルアップだとadblockはほんと便利ですよー
          # だけどもうほとんどネットアクセスはNetFront v3.3で済ましてます(w

      • by Anonymous Coward
        「FirefoxはIEよりも脆弱性が少ないんだ」
        修正数がボロボロでてくると言わなくなる

        「Firefoxの脆弱性は危険なのが少ないんだ」
        危険なのが複数出てくるといわなくなる

        「Firefoxの脆弱整数は多くても、すぐ修正するから安全なんだ」
        すぐ修正するというより、修正してから発表してるだけ。

        「Firefoxは狙われないからウイルスなんて無いんだ」
        マルウェアのターゲットになると言わなくなる

        「Firefoxの脆弱性を突いた被害は無いんだ」
        実害が出るといわなくなる

        「Firefoxのユーザが0-day attack を受けたことは無いんだ」

        次第にFirefoxが安全だという主張の理由が
        • >Firefoxを過大評価している人があまりにも増えすぎた現状を考えると、
          >少し修正したほうが世のためだと思う。

          でもWindowsUpdateをしている限りIEが安全だという人があまりにも多い現状では、Firefoxでそういう勘違いしている人が多少増えたところでたいして世間には影響はないですね(笑)

          ちなみに親コメントちゃんと読んでください。IE6は狙われる実績があるとは書きましたが、どこにもFirefoxが安全だなんて書いていませんから。もちろんcoolなブラウザは安全という意味ではないです。
          わたしがFirefoxを使っているのは、拡張機能とタブ、そしてマルチプラットフォームでのリリースに惚れているからです。

          >IEのほうが安全とは言わないが。

          分かってくださっているようでなによりです。
          でもわたしWin2KユーザーなんでIE7なんてブラウザは知りません。正式リリースされたかどうかもしりませんし。
          --
          モデレータは基本役立たずなの気にしてないよ
          親コメント
  • by Anonymous Coward on 2006年10月04日 14時19分 (#1031465)
    ぜいぜいjavascript程度だしね鷹が知れてる
    被害としてはバッファーオーバーランの方が被害が大きそうだが
    機種依存するだろうし、短いコードで最大の被害を出すなら
    OSを利用すべきなので機種依存するだろうし、
    結果うまく行かないと思った方がいいですね。

    一番はめ易いのはIE、しかも怪しいアングラ系の場所の広告が危ない。
    多くの人をはめるには先ず人が集まらないと意味がない。
    リスクの高い広告を出せる場所は決まってるので当然やばめの場所が選ばれる。
    そして騙しやすく弄れる範囲が大きいブラウザが選ばれる。

    #確実にはまるならマイナーでもやる奴はいるでしょうけど
    #Firefoxは拡張が売りのブラウザで確実性がないので誰かが気づいてしまう。
    • Re:仮に出来たとして (スコア:2, すばらしい洞察)

      by syoumaru (7244) on 2006年10月04日 15時14分 (#1031512)
      情報を得ようとも理解しようともしない
      カモはIEを使ってるのが普通なわけで
      わざわざ他のブラウザをターゲットに
      騙しにくる努力はしないよね。
      親コメント
      • でも、中の人達は、その「カモ」に火狐使わせようと必死になってる訳ですよ。
        シェアが30%越えはじめたら危ないんじゃない?
        • 火狐を使うと彼女や彼女ができました。
          火狐を使うと宝くじに当たりました。
          火狐を使うと無理なくダイエットができました。

          沢山の人が火狐で幸せになっています。
    • by Anonymous Coward on 2006年10月04日 14時31分 (#1031475)
      裏を返せば、Firefox のユーザーが増え、
      そのうち特定の環境で使用される割合が多く、
      バリバリに弄るユーザーが減ったとき、
      Firefox も現実的なターゲットとして頻繁に狙われるということですね。

      Mozilla コミュニティはユーザー数を増やすことに躍起だけれど、
      ユーザー数が増える=特にカスタマイズもされない Firefox@Win が増える
      だとしか思えない。
      親コメント
      • Re:仮に出来たとして (スコア:2, すばらしい洞察)

        by Jadawin (2174) on 2006年10月04日 14時42分 (#1031488) 日記
        >バリバリに弄るユーザーが減ったとき、
        >Firefox も現実的なターゲットとして頻繁に狙われるということですね。

        これは事実でしょうね。ただ、新規にセキュリティ問題を発見できるブ
        ラックハッカーの数は、そんなに多くないと思われますので、Firefox
        が新たなターゲットになることで、結果的にIEの安全度が増すかもしれ
        ません。

        #マイクロソフトさーーん、IEの安全性を確保するためにFirefoxを普及
        #させませんか?
        ##「既存の穴は無くなんねぇーよ。馬鹿」というコメントを予想しつつ。
        親コメント
      • Re:仮に出来たとして (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2006年10月04日 14時46分 (#1031494)
        大丈夫。
        Firefox が本格的に狙われるころには
        現在 IE が言われているようなことが Firefox に対して言われるようになっていて
        「Firefox より安全」を売り文句にする別のブラウザが出現しているだろうから。
        親コメント
      • 根本的な間違いをしてるね

        独占のために余計な機能がついているIEと
        単なるブラウザのFirefox

        余計な機能をくっ付ければ別だが
        普及しても脆弱性が増えて行くとも思えませんけど

        #個人的にはバグフィックスが終るバージョン2あたりでネタ切れで行き詰まると思いますけど
        • 定理1:バグのないプログラムはない。
          定理2:バグの数は使用者の数に応じて発見されやすくなる。

          ∴ユーザーが増えれば増えるほど,バグは発見されやすくなる。(脆弱性が高まる)
    • > ぜいぜいjavascript程度だしね鷹が知れてる

      【誤】鷹 →【正】高
      http://dictionary.goo.ne.jp/search.php?MT=%B9%E2&kind=jn&mode=... [goo.ne.jp]
  • by Anonymous Coward on 2006年10月04日 14時27分 (#1031472)
    性善説頼りなんですか。
    • by vn (10720) on 2006年10月04日 14時42分 (#1031487) 日記
      だから、マトモな人が検証するまでは疑ってかかれ、と忠告しております。

      # 結局、なにがなんでも Firefox を叩きたい人達がフライングしたのではないかと思う。
      親コメント
      • by Anonymous Coward on 2006年10月04日 14時45分 (#1031493)
        とはいえ「放っとくとマシンを乗っ取られるよ!」と言われてるのを放置するのも恐いしねぇ。
        確かにセキュリティホール報告系のサイトもガセネタがかなり多いのは事実なんだけど。
        親コメント
      • by Anonymous Coward on 2006年10月04日 15時18分 (#1031517)
        それは結果論。
        FUDに惑わされないために冷静な判断は重要だけど、検証が済んでいない段階では妥当な範囲で安全側に仮定して対応する方が賢明でしょ。JavaScript切るくらい大したことじゃないし。
        親コメント
      • 結局問題は実際に有るってのは確かなのだけどね。
        ガセだったのは「乗っ取りが可能」って所の話で。
      • ># 結局、なにがなんでも Firefox を叩きたい人達がフライングしたのではないかと思う。

        マトモな人が検証するまでは疑うか。
  • えーと (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2006年10月04日 15時58分 (#1031534)
    いつから

    「Firefoxをクラッシュさせることと、システム資源を消費しつくすこと」

    というものを「脆弱性」と呼ばなくなったんでしょうか?
    なんて呼べば良い?
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...