Firefox 3.0.11リリース、[最高]のセキュリティ修正4件を含む 29
ストーリー by hayakawa
ご利用中の皆様は早めにアップデートをおすすめします 部門より
ご利用中の皆様は早めにアップデートをおすすめします 部門より
あるAnonymous Coward 曰く、
Firefox 3.0.11がリリースされました。既に自動更新でも配布中の模様。
安定性に関わる問題、内部DB(SQLite)に関する問題、ブックマークが破損する問題などの修正に加え、[最高]レベルのセキュリティ修正4件も含まれています。早急なアップデートを。詳細はリリースノート参照のこと。
タレコミ主がいつものあの人じゃない件 (スコア:1, おもしろおかしい)
「しかしまだOS/2版が出ていないのでタレコまず」 [srad.jp]
なんつーかせこい。ここで言うのもなんだけど。
Firefox 3.0.11 for OS/2 is out. (スコア:0, オフトピック)
「せこい」と言われるが、タレコミ一本書くのは結構手間。手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)。仮にリモートから攻撃を受けるような重大な脆弱性が見つかっても、実際はブラウザクラッシュさせるだけでそれ以上の成功は望めないものがあったり、すでに脆弱性実証コードが書かれて Bugtracker や milw0rm.org に掲載されているもの、実際にセキュリティ企業により攻撃が確認されているものまで、千差万別。
更新リリース時の攻撃コードの有無 (スコア:2)
脆弱性の情報とともに出される「攻撃コードがすでに確認されているか否か」の情報は、受け手の立場で意味が異なります。数あるブラウザからどれを常用するかを検討する場合であれば、ブラウザの危険日 [srad.jp]のようなものも判断材料の一つになるでしょうし、Secuniaのような第三者による情報を継続的に集めることで危険日の割合を把握することもできるでしょう。
一方で、すでに使用中のユーザーが受け取った場合、何より求められるのは速やかな対処(使用範囲の制限・一部機能の停止といった回避策、あるいは当座の代替ブラウザ)です。実際問題としてすべてのユーザーがすんなりと対処するとは限らないので、攻撃コードが確認されている場合にそれを強調することにもそれなりの効果があるとは思いますが、本来攻撃コードの有無を気にしているような場面ではないでしょう。
今回のような、更新適用という新たな対処法がユーザーに提供されたタイミングにしても同じです。更新を適用するにしても、回避策を取りつつ適用しないにしても、その判断材料は(マイナー更新で大きな問題があるとは考えにくいが)互換性問題であって、攻撃コードの有無ではありません。むしろ、修正のリリースが攻撃作成のヒントにもなりえることから、「攻撃は確認されていない」場合でも、その情報の信頼性が下がるタイミングとさえ考えられます。
結局のところ、更新リリース時にその時点だけの「攻撃は確認されていない」にことさら関心を向けるのは、危険な予断を許すことにしかつながりません。それは場面場面で重視すべき情報を取り違えているだけであって、決して「Secunia Advisory と同じ考え方」 [srad.jp]などではないと思います。
Re: (スコア:0)
タレこんだACだけど。
> 手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、
> 脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)
んなこたあコメントに任せりゃいいんだよ。
/.(jp)のスタイルからしたら、トピックを上げとくのが大事。
某 toolbar 3.5 の影響でクラッシュする問題 (スコア:1)
まだ直りませんか…。残念。
閾値は 0 で
Re:某 toolbar 3.5 の影響でクラッシュする問題 (スコア:3, すばらしい洞察)
Bugzilla [mozilla.org]かbugzilla-jp [mozilla.gr.jp]に不具合を報告していますか?
報告がないと気付かれませんし、直せるものも直せませんよ。
もしすでに報告があるならば、重要な不具合であるとCcに加わるなりVoteして開発陣に示しましょう。
もちろん、パッチを提供するとみんなが喜びます。
huixteng氏が出来ることをする。それがオープンソース製品を良いものにします。
Re:某 toolbar 3.5 の影響でクラッシュする問題 (スコア:1)
そうですね。すでにベンダのサイトの掲示板でもかなり以前から持ちきりの話だったので
すでに誰かが報告を上げているものと勝手に理解していましたが、
ひょっとするとだれも報告していないのかもしれません。
識者の blog などを見る限り、Add-on 自体は悪くない的な論調が多かったのですが
ここまで Firefox 側の対応がないということは、案外 toolbar 側に問題が
あるのかもしれませんね。
ちょっと調べてみます。
ご忠告ありがとう。
閾値は 0 で
Re: (スコア:0)
すでに持ち切りの話なのにバグ報告が上がらない限り無視ってのは、組織が硬直しちまった証拠じゃない?
Re:某 toolbar 3.5 の影響でクラッシュする問題 (スコア:1)
うう、その香りがしてきました…。
Mozilla の中の人は、Add-on のせいだからと言って完全無視はできないでしょうとか
言ってくださっているというのに!
あ、念のため、ここで言っている組織とは某Norton ?
閾値は 0 で
Re: (スコア:0)
ましてその対処を人知れず行ってくれると信じるのは、(以下省略、自己規制)
よし、僕も僕にできることをしよう (スコア:0)
商標の問題を気にしなくてもいいChromiumに乗り換えました。
Re: (スコア:0)
ACでカルマボーナス使ってるでもないのにスコア:2以上、なのに理由なしとか見かけるので
気になって詳細見るとだいたいそんな感じで不当モデの嵐。
ああ、なるほどそういう理由だったのか...
# Firefox3.5は6月中かな?
Re: (スコア:0)
わざわざぼかして書くような話なのかな。まあ何のことかすぐにわかりましたがね。結構有名な不具合 [google.co.jp]なんですね、これ。Bugzillaにも登録済 [mozilla.org]。まあこの程度のことを調べるのは、つまらん説教をたれるよりもたやすいことですがね。
Re:某 toolbar 3.5 の影響でクラッシュする問題 (スコア:2, 参考になる)
情報ありがとうございます。
ご指摘のバグは把握していましたが、3.1βリリースの話なんですよね。
発見者のレポートには the NIS toolbar doesn't appear and work で、
Firefox3.0.7 では発生せず、3.1b3 で発生する、とありますが、
こちらの不具合は、ご紹介の google 検索結果にある通り、
3.0.x で発生し、ツールバーは表示され、かつ動作しているように見えていて
終了時に Firefox がクラッシュ(より正確にはクラッシュレポータが起動)します。
まぁ、Add-on の不具合は
> Please report problems with non-Mozilla add-ons to their authors.
だそうですので、Norton には既にがんがん報告が行っているようですし、
たとえ新規な不具合でも、どうやら Bugzilla にはレポートを出すべきではなさそうです。
しかし、
> The current Policy is that broken Addons should be reported the the Addon author and not to us.
というコメントに対して、いやいや NIS はユーザーも多いし
追っかけないわけいかんでしょうよ、とかいう反論が出てきたりして、
こういうツリーをじっくり読むのも興味深いです。
(たいてい検索結果のタイトルしか読まないので…)
閾値は 0 で
Re: (スコア:0)
Firefoxの3.5(3.1 b3)で動かないというバグみたいですが。
Re: (スコア:0)
つまり3.0はおろか3.5でもまだ直っていないってことじゃん。がっかりだよ。
脆弱性の多さ (スコア:1, 興味深い)
かつてはMS製品がそれで広く批判され続けて、いまでも同じように
思いこんでいる人がいるけど、やはり機能拡大期はリスクが高い
ということなんでしょうか。
かつては「MSOffice文書は危ないので受け取るな。PDFにしてもらえ」
という時代もありましたが、それが今では
「PDFは危ないから開くな」という時代。
攻撃に使われる文書形式もPDF/Flashが大半を占めるほどになったように、
Web上の攻撃もFirefoxやSafariが使われる件数が増えてくるんでしょうね。
Re: (スコア:0)
そんなこといっても、大きく報道されるようなMacのウイルスって何十年も登場してないでしょ。
とりあいずWindowsは危ないが、Macへ移動するときは厄介ごとを持ち込まないように。
Re: (スコア:0)
君が知らないだけ。DTPやってるんでMacだらけなんだが、現場ではえらいことになったことが何度かある。
Re: (スコア:0)
Re: (スコア:0)
元のレスには
>大きく報道されるようなMacのウイルスって何十年も
ってあるから最近の話とは限らないな。10年以上前ならブートセクタ感染型かな?
ちゃくちゃくと (スコア:0)
Re:ちゃくちゃくと (スコア:1, 参考になる)
「深刻」は原文で「critical」のようだから「最高」と同じ。
訳語の乱れが混乱した印象を与えるのは翻訳の不手際だね。
重要度の区分けの内容はセキュリティアドバイザリのページ [mozilla-japan.org]に
載っているので興味があるようだったら確認してね。
Re: (スコア:0)
むしろ日本語の柔軟性をもっと活用すべきだね
"critical"なら「マジヤバ」とか「シャレならん」とかのほうがしっくりくるし
「最高」よりは「最凶」とか「最終形態」とかのほうが怖そうな気がする
どれがどれより深刻か判らないけど実際そういうもんでもあるし
警告のための文言なら少々インフレ気味のほうがいいくらいじゃね
Re:ちゃくちゃくと (スコア:1)
とか書かれてたら、ヤバい話じゃなくてカッコ良くなったとしか思えないので駄目でしょう。
ドウシテオレハ、ココニイルンダ!
Re: (スコア:0)
…というWizardry世代。
フラッシュ動画の影響で落ちた。 (スコア:0)
早速動画サイトでフラッシュ動画開いたら落ちてくれました。
これはフラッシュのプラグインが悪いのか、DL用にいれているOrbitが悪いのか、他のプラグインか、
再現性が悪いので切り分けできませんが...
Re: (スコア:0)
# そんな事いわれなくてもわかるわ