パスワードを忘れた? アカウント作成
107714 story
アップグレード

Firefox 3.0.11リリース、[最高]のセキュリティ修正4件を含む 29

ストーリー by hayakawa
ご利用中の皆様は早めにアップデートをおすすめします 部門より

あるAnonymous Coward 曰く、

Firefox 3.0.11がリリースされました。既に自動更新でも配布中の模様。

安定性に関わる問題、内部DB(SQLite)に関する問題、ブックマークが破損する問題などの修正に加え、[最高]レベルのセキュリティ修正4件も含まれています。早急なアップデートを。詳細はリリースノート参照のこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2009年06月13日 15時22分 (#1585732)

    「しかしまだOS/2版が出ていないのでタレコまず」 [srad.jp]

    なんつーかせこい。ここで言うのもなんだけど。

    • by Anonymous Coward

      Firefox 3.0.11 for OS/2 英語版 [mozilla.org] 12-Jun-2009 20:18 11M

      「せこい」と言われるが、タレコミ一本書くのは結構手間。手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)。仮にリモートから攻撃を受けるような重大な脆弱性が見つかっても、実際はブラウザクラッシュさせるだけでそれ以上の成功は望めないものがあったり、すでに脆弱性実証コードが書かれて Bugtracker や milw0rm.org に掲載されているもの、実際にセキュリティ企業により攻撃が確認されているものまで、千差万別。

      • 脆弱性の情報とともに出される「攻撃コードがすでに確認されているか否か」の情報は、受け手の立場で意味が異なります。数あるブラウザからどれを常用するかを検討する場合であれば、ブラウザの危険日 [srad.jp]のようなものも判断材料の一つになるでしょうし、Secuniaのような第三者による情報を継続的に集めることで危険日の割合を把握することもできるでしょう。

        一方で、すでに使用中のユーザーが受け取った場合、何より求められるのは速やかな対処(使用範囲の制限・一部機能の停止といった回避策、あるいは当座の代替ブラウザ)です。実際問題としてすべてのユーザーがすんなりと対処するとは限らないので、攻撃コードが確認されている場合にそれを強調することにもそれなりの効果があるとは思いますが、本来攻撃コードの有無を気にしているような場面ではないでしょう。

        今回のような、更新適用という新たな対処法がユーザーに提供されたタイミングにしても同じです。更新を適用するにしても、回避策を取りつつ適用しないにしても、その判断材料は(マイナー更新で大きな問題があるとは考えにくいが)互換性問題であって、攻撃コードの有無ではありません。むしろ、修正のリリースが攻撃作成のヒントにもなりえることから、「攻撃は確認されていない」場合でも、その情報の信頼性が下がるタイミングとさえ考えられます。

        結局のところ、更新リリース時にその時点だけの「攻撃は確認されていない」にことさら関心を向けるのは、危険な予断を許すことにしかつながりません。それは場面場面で重視すべき情報を取り違えているだけであって、決して「Secunia Advisory と同じ考え方」 [srad.jp]などではないと思います。

        親コメント
      • by Anonymous Coward

        タレこんだACだけど。

        > 手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、
        > 脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)

        んなこたあコメントに任せりゃいいんだよ。
        /.(jp)のスタイルからしたら、トピックを上げとくのが大事。

  • まだ直りませんか…。残念。

    --
    閾値は 0 で
    • by Anonymous Coward on 2009年06月13日 18時09分 (#1585835)

      Bugzilla [mozilla.org]かbugzilla-jp [mozilla.gr.jp]に不具合を報告していますか?
      報告がないと気付かれませんし、直せるものも直せませんよ。
      もしすでに報告があるならば、重要な不具合であるとCcに加わるなりVoteして開発陣に示しましょう。
      もちろん、パッチを提供するとみんなが喜びます。

      huixteng氏が出来ることをする。それがオープンソース製品を良いものにします。

      親コメント
      • そうですね。すでにベンダのサイトの掲示板でもかなり以前から持ちきりの話だったので
        すでに誰かが報告を上げているものと勝手に理解していましたが、
        ひょっとするとだれも報告していないのかもしれません。

        識者の blog などを見る限り、Add-on 自体は悪くない的な論調が多かったのですが
        ここまで Firefox 側の対応がないということは、案外 toolbar 側に問題が
        あるのかもしれませんね。

        ちょっと調べてみます。
        ご忠告ありがとう。

        --
        閾値は 0 で
        親コメント
        • by Anonymous Coward

          すでに持ち切りの話なのにバグ報告が上がらない限り無視ってのは、組織が硬直しちまった証拠じゃない?

          • うう、その香りがしてきました…。

            Mozilla の中の人は、Add-on のせいだからと言って完全無視はできないでしょうとか
            言ってくださっているというのに!

            あ、念のため、ここで言っている組織とは某Norton ?

            --
            閾値は 0 で
            親コメント
          • by Anonymous Coward
            自分が知っている事は、相手も知っていると判断するのは愚かでは?
            ましてその対処を人知れず行ってくれると信じるのは、(以下省略、自己規制)
      • 商標の問題を気にしなくてもいいChromiumに乗り換えました。

    • by Anonymous Coward

      わざわざぼかして書くような話なのかな。まあ何のことかすぐにわかりましたがね。結構有名な不具合 [google.co.jp]なんですね、これ。Bugzillaにも登録済 [mozilla.org]。まあこの程度のことを調べるのは、つまらん説教をたれるよりもたやすいことですがね。

      • 情報ありがとうございます。

        ご指摘のバグは把握していましたが、3.1βリリースの話なんですよね。

        発見者のレポートには the NIS toolbar doesn't appear and work で、
        Firefox3.0.7 では発生せず、3.1b3 で発生する、とありますが、
        こちらの不具合は、ご紹介の google 検索結果にある通り、
        3.0.x で発生し、ツールバーは表示され、かつ動作しているように見えていて
        終了時に Firefox がクラッシュ(より正確にはクラッシュレポータが起動)します。

        まぁ、Add-on の不具合は
        > Please report problems with non-Mozilla add-ons to their authors.
        だそうですので、Norton には既にがんがん報告が行っているようですし、
        たとえ新規な不具合でも、どうやら Bugzilla にはレポートを出すべきではなさそうです。

        しかし、
        > The current Policy is that broken Addons should be reported the the Addon author and not to us.
        というコメントに対して、いやいや NIS はユーザーも多いし
        追っかけないわけいかんでしょうよ、とかいう反論が出てきたりして、
        こういうツリーをじっくり読むのも興味深いです。
        (たいてい検索結果のタイトルしか読まないので…)

        --
        閾値は 0 で
        親コメント
      • by Anonymous Coward

        Firefoxの3.5(3.1 b3)で動かないというバグみたいですが。

        • by Anonymous Coward

          つまり3.0はおろか3.5でもまだ直っていないってことじゃん。がっかりだよ。

  • by Anonymous Coward on 2009年06月15日 9時01分 (#1586495)
    Adobeにしろ、Mozillaにしろ、脆弱性が多すぎる気がする。
    かつてはMS製品がそれで広く批判され続けて、いまでも同じように
    思いこんでいる人がいるけど、やはり機能拡大期はリスクが高い
    ということなんでしょうか。

    かつては「MSOffice文書は危ないので受け取るな。PDFにしてもらえ」
    という時代もありましたが、それが今では
    「PDFは危ないから開くな」という時代。
    攻撃に使われる文書形式もPDF/Flashが大半を占めるほどになったように、
    Web上の攻撃もFirefoxやSafariが使われる件数が増えてくるんでしょうね。
    • by Anonymous Coward

      そんなこといっても、大きく報道されるようなMacのウイルスって何十年も登場してないでしょ。
      とりあいずWindowsは危ないが、Macへ移動するときは厄介ごとを持ち込まないように。

      • by Anonymous Coward

        君が知らないだけ。DTPやってるんでMacだらけなんだが、現場ではえらいことになったことが何度かある。

        • by Anonymous Coward
          それはほらDTPでMac使ってる環境なんて10年前のをいまだに使ってるだけだから。何十年も前に登場したのが蔓延し続けてても別におかしくない。
          • by Anonymous Coward

            元のレスには

            >大きく報道されるようなMacのウイルスって何十年も

            ってあるから最近の話とは限らないな。10年以上前ならブートセクタ感染型かな?

  • by Anonymous Coward on 2009年06月13日 16時08分 (#1585755)
    最高(3.07)とか深刻(3.08)とかオレオレみたいな香りがしはじめているのは気のせい?
    • by Anonymous Coward on 2009年06月13日 17時52分 (#1585825)

      「深刻」は原文で「critical」のようだから「最高」と同じ。
      訳語の乱れが混乱した印象を与えるのは翻訳の不手際だね。

      重要度の区分けの内容はセキュリティアドバイザリのページ [mozilla-japan.org]に
      載っているので興味があるようだったら確認してね。

      親コメント
      • by Anonymous Coward

        むしろ日本語の柔軟性をもっと活用すべきだね

        "critical"なら「マジヤバ」とか「シャレならん」とかのほうがしっくりくるし
        「最高」よりは「最凶」とか「最終形態」とかのほうが怖そうな気がする

        どれがどれより深刻か判らないけど実際そういうもんでもあるし
        警告のための文言なら少々インフレ気味のほうがいいくらいじゃね

        • by KTFS (37383) on 2009年06月16日 11時20分 (#1586952) 日記
          最終形態 : JavaScript によるクローム特権昇格
          とか書かれてたら、ヤバい話じゃなくてカッコ良くなったとしか思えないので駄目でしょう。
          --
          ドウシテオレハ、ココニイルンダ!
          親コメント
        • by Anonymous Coward
          "critical"なら、致命的な方がしっくりくるかな。

          …というWizardry世代。
  • by Anonymous Coward on 2009年06月14日 20時21分 (#1586337)
    早速、バージョンアップしたんですが、
    早速動画サイトでフラッシュ動画開いたら落ちてくれました。
    これはフラッシュのプラグインが悪いのか、DL用にいれているOrbitが悪いのか、他のプラグインか、
    再現性が悪いので切り分けできませんが...
    • by Anonymous Coward
      Orbit をアンインストールして、再確認してから報告してください。

      # そんな事いわれなくてもわかるわ
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...