パスワードを忘れた? アカウント作成
6467309 story
Firefox

Firefox 16.0に脆弱性が発見され公開中止に 82

ストーリー by hylom
あれまあ 部門より
あるAnonymous Coward 曰く、

Firefox 16.0に脆弱性が見つかり、自動更新が中止された。また、公式サイトのダウンロードページも15.0.1に戻された。10.0.8 ESRにこの脆弱性は存在しない(セキュリティホールmemo)。

脆弱性の内容は、悪意のあるサイトによってユーザーがアクセスしたURLやURLパラメータを知られてしまうというもの(Mozilla Security Blog)。

今後、脆弱性を修正した16.0.1のリリースが予定されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Google Chrome の脆弱性を見つけた ハッカーが賞金 $60,000 [blogspot.jp]、という記事を見て思うのは、まず、セキュアなソフトウェアをメンテナンスするのは恐ろしく難しいのであるなあということと、それだけのことをするのはカネがいるということであります(しかも、この脆弱性見つけたこのハッカーは今年二度目の脆弱性発見、$120,000 稼いでるという)Chrome はオープンソースではありますが、これは、懐が暖かい Google の長期的な戦略に基づく製品なのであって、Firefox とは趣が異なると思われます。

    Eclipse は、Visual Studio を打ち倒したかのように見えましたが、マイクロソフトは Visual Studio 2012 では JavaScript の強力なコーディング環境を構築しました。動きが早い。クリエイティブ用途のソフトウェアの分野で、Adobe や Auto Desk、Apple の強力な製品と比べると、素朴なオープンソースのソフトウェアでは遠く及ばない。

    • 素朴な疑問ですが、proprietary だと「セキュアなソフトウェアをメンテナンスする」ことができるようになるのですか?

      後半部分は、セキュアなソフトというのとはまったく価値観が違うものを述べていますが、それはどんな関係があるのでしょう?
      親コメント
      • 要するに、カネが回らないのでは進歩に追いつけないということであります。これからもブラウザはおそらく多機能化を続けることは間違いないときに、資本面で Firefox がついていくのはそうとう厳しいのではなかろうかという思いました。

        Eclipse Juno のパフォーマンス問題 [infoq.com]というのも、理由は人的金銭的リソースが不足しているからだそうです。当たり前ですが、いつだってカネが大問題なのだなあということです。

        親コメント
        • 金の問題は重要ですし、問題なのは同意です。

          でも、「セキュアなソフトをメンテナンスするのは難しくて金がかかる」というのは、
            - まずは問題を作り込まないようにするという話があって
            - メンテナンスしやすいようにするという話が次に来て
            - それから、どうメンテナンスする人員をどう確保するか(費用をどうするのか)、という話
          だと思うわけです。

          問題を作り込まないようにする、メンテナンスしやすいようにするという意味では、OSSライセンスのもとでオープンな開発体制にするのがコストを下げるという点を忘れてはならないんじゃないでしょうか。

          GoogleがChromeを開発するリソースを確保するのはproprietaryかOSSかに関わらず必要なのであって、そのコストを下げるのにOSSを利用する/chrome自体をOSSとしてリリースしていく(=chromium)という判断を下しているわけです。そういう意味で、タイトルが「オープンソースでは無理か」というタイトルを付けられたのは「?」と思います。

          機能について、VS2012やAdobeCSが非常に充実しているのは同意です。これと同じ事をやろうと思うとかなり大変そう…あと、Eclipseの話は知らなかったので参考になりました。ありがとうございます。

          でも、さらに追加すると、進歩に追いつく(機能の進化)という話は、元々MSやAdobeとかは金銭的リソースもさることながら、それまでに開発してきたコードという財産とそのソフトを開発できる人的資産(技能と知識も含め)を持っていることを無視してもいけないかと思います。

          #理解しようとして分からないから素直に質問しているのに、ひねくれてるとか言われるのは心外ですねぇ>AC
          親コメント
      • by Anonymous Coward

        元コメさんではありませんが、

        ・セキュアなソフトをメンテナンスするのは難しく金がかかる
        ・カネという観点では、Google、Adobe、Auto Desk、Appleの製品に比べると、資金力で劣るFirefoxを含むオープンソースは機能的に遠く及ばない点がある。

        ということを元コメさんは述べていて、

        Googleからきられて前ほど資金が潤沢でなくなったであろうmozillaがFirefoxをよいソフト(セキュアだったり、速かったり)として維持するのは難しいかもしれないですね、ということが言いたいのだと思います。

        まあ、そんなひねくれずに、理解しようとしてあげてください。

    • Mozillaのオープンソースは悪いオープンソース
      Googleのオープンソースは良いオープンソースと
      "金がないと無理か"なら文句なかったが

      親コメント
    • by Anonymous Coward

      どう読んでも厨二の脳内妄想にしか読めないんだけど。
      少なくとも何が話題になってるか把握してから書いたら?

    • by Anonymous Coward

      > Firefox とは趣が異なると思われます。

      Googleと比べれば懐は寂しいですが
      Firefoxにも同種の報奨金プログラム [mozilla.org]があります。

    • by Anonymous Coward

      MSは金持ちのくせに謝辞だけで報奨金も払わないのかケチだなまで読んだ
      # でもGoogleに時価総額抜かれたんだっけ

  • by Anonymous Coward on 2012年10月11日 20時06分 (#2249349)

    Firefox 16で修正が公表されたアドバイザリ14件 [mozilla-japan.org]のうち、Firefox 10.0.8 ESRに影響するものは10件 [mozilla-japan.org]。

    公開停止の原因になったバグを除いても、4件のセキュリティーバグをFirefox 16の開発プロセスの中で新たに生み出している。さらにアドバイザリの共通するメモリ破壊バグ [mozilla.org]もFirefox 16だけに影響する修正を1件を含んでいる。

    Firefoxはもう古いブランチのメンテナンスだけしていればいいんじゃないかな。

    • by Anonymous Coward

      嫌なら使うな

      • by Anonymous Coward

        嫌だけど使わないといけないんだよなあ。
        うちの製品もFirefoxサポート切っちゃえばいいのに…。

        • by Anonymous Coward

          セキュリティバグが残っているバージョンのサポートなんか遠慮なく切っていいと思いますが。

          • by Anonymous Coward

            >> セキュリティバグが残っているバージョンのサポートなんか遠慮なく切っていいと思いますが。

            Firefoxなんぞ遠慮なく切れってコトですね。わかります。

            • by Anonymous Coward

              本当、切れるものなら切りたいよ。
              図体のデカい企業だとラピッドリリースについていけない。
              あるバージョンで検証しても、社内プロセスを経て市場に出すときには既にサポート外バージョンというのは…。

      • by Anonymous Coward

        64bit板をサポートしてくれないので、使う気になれずに実際ほったらかしになってます…

      • by Anonymous Coward

        あ、もう更新しちゃった。
        他のタブを全て閉じるの毎回確認が消せなくてアドイン入れましたけど
        それ以外はまぁあんまり気にしてません。

        #同期が面倒なので、私はポータブルバージョンです。

    • by Anonymous Coward

      古いブランチとは、ESRの事でしょうか。ESRは法人向けです。
      mozilla supportでは、最新バージョンのFirefoxが使えない環境に対して他のブラウザの最新バージョンを使うことを勧めています。
      https://support.mozilla.org/ja/kb/install-older-version-of-firefox [mozilla.org]

    • by Anonymous Coward

      で、「新しいソフトウェアで新しいバグが作り続けられなかった」というケースって何よ?
      そりゃ、ソフトウェアを新しく作りゃ、それ由来の新しいバグだって出るわな。

  • コンピュータおばあちゃんが言っていた「出てすぐに更新するのは無知な愚か者のする行為なのだよ」と…。

    # OSはこの間 Lion から、Mountain Lion に更新したばかり
    # この記事を見て「この Mac に入れているのはバージョン何だっけ?」と思い確認したら FF15 で、16.0.1への更新をダウンロードし始めました

    • やぁ、IBM OS/2 使いの ID [geocities.jp] がやってきましたよ。

      Firefox ESR 10.0.9 for OS/2 の about:buildconfig の情報です。

      Build platform
      target
      i386-pc-os2-emx
      Build tools
      Compiler Version Compiler flags
      gcc.exe gcc version 4.4.6 (GCC) -Wall -W -Wno-unused -Wpointer-arith -Wdeclaration-after-statement -Wcast-align -W -pedantic -Wno-long-long -fno-strict-aliasing -Zomf -pipe -DNDEBUG -DTRIMMED -mtune=generic -march=i686 -O3 -fomit-frame-pointer
      g++ gcc version 4.4.6 (GCC) -fno-rtti -Wall -Wpointer-arith -Woverloaded-virtual -Wsynth -Wno-ctor-dtor-privacy -Wno-non-virtual-dtor -Wcast-align -Wno-invalid-offsetof -Wno-variadic-macros -Werror=return-type -pedantic -Wno-long-long -fno-exceptions -fno-strict-aliasing -Zomf -pipe -DNDEBUG -DTRIMMED -mtune=generic -march=i686 -O3 -fomit-frame-pointer
      Configure arguments

      --enable-application=browser '--enable-optimize=-mtune=generic -march=i686 -O3' --disable-debug --disable-debug-symbols --disable-tests --enable-os2-high-mem --without-x --disable-ipc --enable-official-branding

      やっぱり枯れたシステムはいいなぁ。

      とはいえブラウザのセキュリティホールは発見された直後が狙い時なので、新バージョンがリリースされたらすぐに更新するのが吉。

      >出てすぐに更新するのは

      コンピュータおばあちゃんが言っているのは、たとえばWindowsの新バージョンが発売されても SP1 が出るまで導入は待てという話(ごめん林檎は知らないんだ)であって、ソフトウェアの脆弱性を野放しにせよということではありませんよ。
      ---
      Build identifier: Mozilla/5.0 (OS/2; Warp 4.5; rv:10.0.9) Gecko/20100101 Firefox/10.0.9

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
  • by Anonymous Coward on 2012年10月11日 19時28分 (#2249312)

    職場のPCだからいいか

    • by Anonymous Coward

      JVNとかどうなってんのかな。
      MyJVNの更新情報はFireFox16.0に対応 [jvndb.jvn.jp]とか書いてあるけど、詳細がよくわかない。

      • by Anonymous Coward

        そんなことは書いていない。
        Frirefox 16に対応とは書いてあるが…

  • by Anonymous Coward on 2012年10月11日 19時35分 (#2249320)

    Android 版 Firefox 16.0.1 リリースノート
    http://www.mozilla.jp/firefox/android/16.0.1/releasenotes/ [mozilla.jp]

  • by Anonymous Coward on 2012年10月11日 19時44分 (#2249328)

    アプデしちゃったよ

  • by Anonymous Coward on 2012年10月11日 19時50分 (#2249334)

    Thunderbird 16は大丈夫でしょうか!

  • by Anonymous Coward on 2012年10月11日 21時18分 (#2249405)

    16は3.6以来の良バージョンだと思います
    3.6以来どんどんもっさりしていっていたのが16で一気に3.6並にサクサク反応するようになった気がします (効果には個人差があります)

    • by Anonymous Coward

      進む・戻るの履歴が廃止されたのがとても不便

      • by shibuya (17159) on 2012年10月11日 21時42分 (#2249424) 日記

        SafariやGoogle Chrome同様、長押しすれば表示されるということはないですか?あるいは右クリック。

        // 見当違いだとすれば、わたしはいつのUIで使っていることになるのだろう⇒あとで考える糖分棚上げ

        親コメント
        • by Anonymous Coward

          ほんの少し長押しすると履歴が出るっぽいですね。

        • by Anonymous Coward

          以前なら長押しとか右クリックとか必要なしに履歴ボタンが矢印の先に小さくついていたからなぁ
          それにくらべると劣化UIだと感じる毎日

          • 後付け自分解釈ですけど。。。

            履歴スタックを複数たどるのは目で見て判断してをはさむので長押しに要するちょっとの時間がトレードオフになってもよいのかなと
            右クリックで表示も一緒かな。
            add-onsをいっぱい導入して敏感な場所がそうでなくても狭いからなくてもいいわたしにとっては好ましい変更です。
            …そもそもそれほど利用優先度の高い操作でなかったから気にしていないというのが個人的事情ですね。
            劣化か中立変化かは個々のユーザの事情次第ですから決め付けられないと思いました。

            // あくまでゆるいユーザゆえの感想です -- という逃げを打っておきましょう。

            親コメント
      • by Anonymous Coward

        普通に使えますよ?
        私は新しいUIが嫌いなので、3.6のUIにカスタマイズしています

        ← → 家 アドレス 検索ボックス
        みたいな感じ
        もちろん←を右クリックすれば履歴も出ます

      • by Anonymous Coward

        あ、微妙にすごいです。始めて知りました。
        あとはGoogleツールバーさえ復活してくれれば。
        代替えはあるんですけど微妙に使いにくい。

        #ホームの位置とかUI配置変えられると
        #どこにあるのかわかんないのでやめてほしい。

  • by Anonymous Coward on 2012年10月12日 3時48分 (#2249593)

    16.0.1来てますよ

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...