パスワードを忘れた? アカウント作成
13829039 story
Firefox

Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 73

ストーリー by headless
証明 部門より
先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701Softpediaの記事Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年02月02日 13時34分 (#3558799)

    この認識をもっと浸透させていきたい。

    というか、法人はともかく個人でセキュリティ製品の別途導入なんて必要ない。

    • by Anonymous Coward

      PUA(望ましくない可能性があるアプリ)検出とか、個人にこそ必要だと思うけど。
      みだりにアプリをインストールしないようにお達しが出ている会社のPCでさえ、じゃんじゃん検出&ブロック報告が上がってきます。
      予備知識のない個人のPCだったら、インストールされちゃってんだろうなと心配になりますね。

      「一般人はOKダイアログが出たら何も考えずに押すもの」というぐらいの視点で考えて欲しい。

      • by Anonymous Coward

        Microsoft製品がそれを備えれば良い

        • by Anonymous Coward

          望ましくないの定義やレベルによると思うけど、悪意のあるソフトウェアの削除ツールとSmartScreenの実行されるソフトウェアのチェックは、いい仕事をしていると思う。

        • by Anonymous Coward
      • by Anonymous Coward

        OKボタンどころかUACダイアログですら何も考えずに許可しちゃう=面倒だから無効化だからなぁ。

    • by Anonymous Coward

      もはやウイルス。金払ってウイルス入れるのは馬鹿らしいな。

      • by Anonymous Coward

        「ウイルスソフト」とはよく言ったもので。

    • by Anonymous Coward

      反ワクチン論に似たにおいを感じる

      • by Anonymous Coward

        マイクロソフトのセキュリティ対策ソフトがダメダメだって吹聴することが ですかね?

        #昔は兎も角、今は個人向けにはマイクロソフト謹製で十分だと思う

    • by Anonymous Coward

      今のWindows Defenderの検出率がいいことは知っているが、過去に何度もMicrosoft Security Essential & Windows Defenderには裏切られているからな。どの製品でも完璧はあり得ないのだから、多層防御をとるに限る。

      # ESET Internet Security + FFRI yarai Home and Business Edition + Windows Defender 制限付きの定期的なスキャン
      # 公式アナウンスはないが、先月よりCylance Smart Antivirusが日本から購入できるようになったらしい。現在購入検討中

      • by Anonymous Coward

        多層防御のつもりで装備した盾が実は爆弾でした

      • by Anonymous Coward

        多層防御ねぇ。
        壁に穴を開けるセキュリティソフトなんていらないんですよ。

    • by Anonymous Coward

      Avira のワイ 高みの見物

  • by yatyura (11511) on 2019年02月02日 14時15分 (#3558811)
    セキュリティソフトウェアが邪魔している。
    • by Anonymous Coward

      サードパーティーのセキュリティ、問題ばっかりだな。
      Windows Defenderとかで十分だな。トラブル多すぎ。

    • by Anonymous Coward

      皆勝手に復号できるなら完全HTTPS化なんてなんの役にも立たないというだけでは。

    • by Anonymous Coward

      というか、LenovoのPCでさんざん問題になったSuperfish [wikipedia.org]と全く同じですよねぇ。

    • by Anonymous Coward

      関連リンクにあるけどこいつら過去にTLS 1.3も邪魔してるからな

  • by Anonymous Coward on 2019年02月02日 14時01分 (#3558805)

    AVG使ってるけど、とくに問題は出てないなぁ。たとえば今このサイトは「Verified by COMODO CA limited」だと、Firefoxが出してくる。

    それはともかく… AVG/Avastのようにhttpsを横取りして復号する方式ではなく、httpsの内容をチェックするのってどうやってるの?

    • 無理じゃ無いかな。
      私はWindowsでは、httpsの内容チェックは切っているな。本来の証明書が確認できない。

      親コメント
      • by Anonymous Coward

        > 本来の証明書が確認できない
        いや、AVGはこれができているのが不思議なんだよね。

        Avastがオレオレ証明になってしまうのは確認済みだけど、AVGのhttpsスキャンは元のCAのまま。もちろんWebシールドのカスタマイズで「HTTPSスキャンを有効にする」にチェックが入った状態で。

        もしホントにスキャンしているなら、スキャンした後にもう一度つなぎ直しているのかな。よくわからん。

        • by Anonymous Coward

          AVG経由で取得したここの証明書の内容(抜粋)

          Common Name:*.srad.jp
          Organizational Name:
          Organizational Unit:PositiveSSL Wildcard
          State:
          Locality:
          Country:

          From Date:2018-02-05 09:00:00
          To Date:2019-03-08 08:59:59

          Common Name:COMODO RSA Domain Validation Secure Server CA
          Organizational Name:COMODO CA Limited
          Organizational Unit:
          Country:GB

        • by Anonymous Coward

          アンチウイルスソフト側では有効にしているけど、
          ブラウザ側で弾かれて実は機能していないのでは?

        • by Anonymous Coward

          アンチウィルスのオレオレ証明書をルートに入れて、
          証明書ツリーを丸ごと鍵と指紋以外同じにして再現することはできるだろうし、
          コードインジェクションやDLLインジェクションでブラウザ自身をオンメモリで改造することもできる。

          前者は証明書を詳しく見ればわかるだろうし、
          後者はこないだFirefoxも締め出す宣言したから消えてくだろうね。

    • by Anonymous Coward

      ウェブブラウザのプロセス内に侵入して、Firefoxが復号した後のメモリを読み取れば良いのではなかろうか。

      なお、この手法も間もなく禁じられる模様: FirefoxもサードパーティーDLLをブロックへ [it.srad.jp]。

      • by Anonymous Coward

        そういうソフト向けにI/F作りゃいいやんと思うけど、ぜって〜悪用する奴出るから用意できんよなぁ…

      • by Anonymous Coward

        DLLのロードがブロックされるだけで、コードインジェクションは封じられていないから、しばらくはそのMITBもどきの方法でいけると思われる。

    • by Anonymous Coward

      親切にお願いして見せてもらうとか?

  • by Anonymous Coward on 2019年02月02日 16時07分 (#3558850)
    起動や終了が5分とか馬鹿げた事を普通だと感じ始めたら、
    大抵は無料製品があるセキュリティソフトが外部から守って、
    自社からは全力でスキャンし続けてるだけだから
  • 特にセキュリティソフトが担う権限はOSが使役する最高権限を侵害しないと動作させられないから、
    ユーザー自体の選択権限すら完全に阻害したり、MSアップデートで根源問題に成ってる、
    人間が知覚不能な領域でテレメトリー活動を行い、ダイアログ表示と関係無い権限操作を強制して、
    正常動作を優先権限により侵害させるトロイと何ら変わらない異常性を黙認してる仕様に問題がある
    • by Anonymous Coward

      MSがWindows Defenderを標準装備にした理由の一つだよね
      なので個人的にはセキュリティソフト各社はWindows Defenderを補助するタイプのソフトも開発するだろうと思ってたけど、そんなことはなかった

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...