パスワードを忘れた? アカウント作成
Close
13640098 story
Chrome

Chrome 67で封じたはずのダウンロード爆弾バグが復活。Firefox、Vilvadiなども影響 26

ストーリー by hylom
蘇ってしまった 部門より
あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb(ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない(Bleeping ComputerFOSSBYTESAppualsSlashdot)。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた( 過去記事)。

皮肉なことに最新のChrome 67(67.0.3396.87)でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Chrome 67で封じたはずのダウンロード爆弾バグが復活。Firefox、Vilvadiなども影響 More

  • 釣られてみる (スコア:1)

    by vnaoivoibonaea (48112) on 2018年07月06日 16時17分 (#3438429) 日記

    タイトルが「Chromeのデグレ」がFirefoxやVilvadi(Vivaldiでなく?)にも波及しているように読めちゃう

    SRWareとかVivaldiとかChromeベースのブラウザならわかるけど、
    FirefoxってChromeのソースコードを流用しているの?

    • Re:釣られてみる (スコア:1)

      by minet (45149) on 2018年07月06日 19時39分 (#3438593) 日記

      ヴィルヴァディって読むのかな。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      本当に意味不明ですよね
      エスパーしてFirefoxも偶然同じタイミングでやらかしたのか
      元々Firefoxは対策できていなかったので良い機会とばかり改めてフューチャーしたのか…って感じでしょうか?

      • Re: (スコア:0)

        by Anonymous Coward

        フューチャーで笑ってしまった

        • Re: (スコア:0)

          by Anonymous Coward

          バック・トゥ・ザ・フィーチャー

          • Re: (スコア:0)

            by Anonymous Coward

            "Download bomb" は "feature" だった!

      • Re: (スコア:0)

        by Anonymous Coward

        まとめサイトの新着記事みたいに、
        最新の差分をお互いに奪い合ってるフォークプロジェクトってありますよね。

        • Re: (スコア:0)

          by Anonymous Coward

          正直、ダウンロード部分の実装とかどこのブラウザベンダーも手抜いて、適当なところから引っ張ってきてそう
          ただ、IE,EdgeだけはIE時代の頃の実装を引き継いでるようでバグとは無縁のようですね
          代わり、ファイル名文字化け問題でくすぶっててEdgeに乗り換えができないんですが(ーー;

    • Re: (スコア:0)

      by Anonymous Coward

      現象は同じだけど、別の脆弱性なんでしょうね。

    • Re: (スコア:0)

      by Anonymous Coward

      オープンソースは普通に互いにソースコードを使いまわしあってるよ
      差別化するところはブラウザエンジンのアルゴリズムだし
      どうでもいいところは普通に使いまわしてる

  • 邪気眼っぽく (スコア:1)

    by Anonymous Coward on 2018年07月06日 17時05分 (#3438479)

    ば、馬鹿なっ、あれはChrome 67が封じたはずっ・・・!

  • Windowsとかでもそうだが… (スコア:0)

    by Anonymous Coward on 2018年07月06日 16時27分 (#3438441)

    一度修正されたはずのバグが復活するケース、多すぎるね。
    最近のソフトウェア(アプリ、OS等)のデグレの多さには…。

    ちゃんとテストしてから、配布するようにしてほしいよ。

    • まあぶっちゃけ (スコア:0)

      by Anonymous Coward

      起こる時は起こる。テストやってても発生条件を外してる事もある。

    • Re: (スコア:0)

      by Anonymous Coward

      今はテストなんてリリース後にやるんだよ。誰が?もちろんユーザーが。

      新規機能追加とバグ修正を別人がやるとどうしてもデグレードする。
      特殊な状況でないと起きないバグは特に。
      そういう体制をやめるしかない。やめれば納期はできたとき。
      まあそのうち人工知能がなんとかしてくれるよ。

  • くだらんこととは思うけど (スコア:0)

    by Anonymous Coward on 2018年07月06日 17時33分 (#3438511)
    ブラウザ か
    ブラウザー か

    どっちかにしてくれ

  • 最新じゃないですよ (スコア:0)

    by Anonymous Coward on 2018年07月06日 18時33分 (#3438569)

    67.0.3396.99が出たのは、10日以上前のこと。

  • 題名 (スコア:0)

    by Anonymous Coward on 2018年07月09日 16時08分 (#3439894)

    間違ってる訳じゃないけど、

    > Chrome 67で封じたはずのダウンロード爆弾バグが復活。

    だと最新のGoogle Chrome 67で修正されたかのように読めてしまうな。
    「Chrome 67で」「封じたはずのダウンロード爆弾バグが復活。」と区切るか
    「Chrome 67で封じたはずの」「ダウンロード爆弾バグが復活。」と区切るかの問題だろうか。

    > Chrome 65で封じたはずのダウンロード爆弾バグが最新版Chrome 67で復活。

    とかの方がよかったのでは。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds