Firefoxのベトナム語言語パックに不正なコードが混入 53
ストーリー by wakatono
確認の上アップデートを 部門より
確認の上アップデートを 部門より
hiromichi-m 曰く、
Mozilla Security Blogによると、Firefox2のベトナム語言語パックに、外部のコンテンツをロードする不正なコードが含まれていたことが明らかになった。
MozillaのBugzillaによると、言語パックに含まれていたのは「Xorer」と呼ばれるトロイの木馬で、ヘルプページに悪意のあるコードが埋め込まれている。
このコード自体は悪意のある動作を行わないものの、外部からコードを読み込んで実行してしまうため、ウイルスなどの侵入を許してしまう可能性がある。
2008年2月18日以降にベトナム語言語パックをダウンロードしたユーザーは、この不正なコードが含まれている可能性があるとのことだが、2007年12月以降のベトナム語言語パックのダウンロード数は16667件ということで、被害は限定的なようだ。また、現在ベトナム語言語パックを使っているユーザーは、新しい言語パックがリリースされるまでは現在の言語パックを無効にすることが推奨される。
Mozillaではアップロード時点でのウイルスチェックは行っているものの、この問題はチェックできなかったとのことだ。
言語パックに含まれるヘルプファイルを閲覧したタイミングで、JavaScriptのコードが実行され、不正なコードを外部のサイトからダウンロード&実行というのでウィルスの活動に至る。心当たりの方は確認を。
悪意って何だろう (スコア:3, 興味深い)
これって、悪意のある動作では?
Re:悪意って何だろう (スコア:5, 参考になる)
ただし、ソフトウェア作者もダウンロードサービス側も意図していないデータが含まれていた、という事実そのものに対しては、きっちりした対処が必要でしょう。
まず、根本的な問題として、拡張のウィルススキャンがアップロード時にしか行われていなかった、というのがあります。つまり、粗製乱造な進入コードの場合、タイミング的に掴み損ねる危険があるので、ウィルススキャンは定期的にやる方がいいということですよね。現に、全ファイル再スキャンの結果、このファイルだけ引っかかっているわけですから、やっていれば効果はあったはずです。この場合のように、パターンが未発見なら、混入そのものは避けられなかったと思います。しかし、やはり数ヶ月把握していなかった、というのはダウンロードサービス(つまり、addons.mozilla.org)側の落ち度でしょう。
おそらく、この問題は「毎日スキャンする」という対処法で、対外的にもケリになるのではないでしょうか。良し悪しは別にして。
Re: (スコア:0)
Re: (スコア:0)
>htmlファイルに無造作にコードを埋め込むタイプだったから、
>言語パックに含まれていたhtmlに数行埋め込まれていた、
>ということのようですね。
>ヘルプですから権限は取れていなかったので、もしコードが
>実行されてもたいした事にはならなかったと思います。
脅威を過小評価し過ぎだと思います。
ヘルプの文書にスクリプトが仕込まれていたから大した権限を
取れなかったというのではないでしょう。
そのヘルプを表示させるユーザの権限が問題なので、
例えば管理者権限を持つユーザがこのヘルプを見て発動させて
いたら被害は大
Re:悪意って何だろう (スコア:1)
Re: (スコア:0)
いあ、そもそも塩基配列自体が悪意の有るコードなのでは・・・。
てか、ビックバン自体が悪意のあry
Re: (スコア:0)
外部からのコードが悪意のある動作をするとは限らない、といいたいのかな(笑)
Re: (スコア:0)
混同してるあたりが痛い。
誰が混同したにせよ。
Re: (スコア:0)
Re: (スコア:0)
直接被害を及ぼすコードではないというだけの話。
ただし被害を及ぼす環境を作り出すという意味では悪性なので、
分類上の表記としては「悪意のある動作」という表現自体の運用が正しくないと言える。
直接的だろうが間接的だろうがユーザ(or PC)にとって悪性なコードには変わり無いが
直接的なものだけ取り出しているのにはたして意味があるのか?疑問ではある。
今回のタレコミに限らず。
鳥インフルエンザ!? (スコア:1, おもしろおかしい)
Re:鳥インフルエンザ!? (スコア:1, 興味深い)
#キタキツネをみてもえさを与えないでください
Re: (スコア:0)
ふつーに適応できなければ、宿主を破壊するか、宿主に破壊されるかのどっちかになるのではないかと。
# 某pediaの受け売りだ。念のため。
Re:鳥インフルエンザ!? (スコア:1)
回虫みたいに中途半端に適応していると, 見た目気持ち悪い症状 [banyu.co.jp]になったりしますけどね.
Re: (スコア:0)
uncyclopediaかな?それは信じない方が身の為。
#違うって。
Re: (スコア:0)
16667件(T/O) (スコア:1, おもしろおかしい)
ずいぶんキリのいい数字だなと思ってしまったのは何故でしょうか。
Re:16667件(T/O) (スコア:4, おもしろおかしい)
Re: (スコア:0)
地球外生命体の仕業かもしれない…と。
つドリエル [ssp.co.jp]
Re:16667件(T/O) (スコア:2, 参考になる)
Re:16667件(T/O) (スコア:1)
という人は多い……わけないよなぁ。
Re: (スコア:0)
誰が何のために? (スコア:1)
よりにもよってベトナム語言語パックですからね. 通常の不特定多数ねらいの経済的目的では割があわなそうだし, ボットネット構築用としても接続している線も細そうだから効率はよくないだろうし.
やっぱりピンポイント狙いでしょうか?
Re:誰が何のために? (スコア:1)
拡張自動無効化 (スコア:1, 参考になる)
この機能が公にはじめて役に立った……かな?
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:5, すばらしい洞察)
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:1, すばらしい洞察)
その点では反論のしようがないじゃない。
まあ、これを機会にアドインのホストのセキュリティ強化が進むと良いですね。
Re: (スコア:0)
すでにやってる [mozilla.org]みたいですね。
Re: (スコア:0)
こういう事態は、オープンかどうかに関係なく起こりえることでしょう?
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:1, 興味深い)
確かにそうなんですが、最初から悪意を持ってそういったコードを混入させてやろうと考えた時、
企業に侵入して混入させるよりも、こういったオープンソースのものに混入させる方が遥かに難易度は低いと思います。
よく言われる「オープンソースなら世界中の人が監視役」というのは、こういう事件がある度に通じない、と証明されているようなもので、
上記のような問題も併せて、オープンソース陣営はプロプライエタリなものよりも慎重を期す必要があるとも言えますね。
Re:「それみたことか、ウィルス対策ソフトは安全じゃない」とか (スコア:0)
そういやClamAVって最近たびたび致命的なセキュリティホールが発見されてますね。
Re:「それみたことか、ウィルス対策ソフトは安全じゃない」とか (スコア:1)
著名有償アンチウイルスソフトウェアも似たような状況ですからご安心下さい。
Re: (スコア:0)
「それみたことか、宣言的じゃなく手続き的なコードは安全じゃない」
のほうだと思うが。
Re: (スコア:0)
安全にする義務は全くないと思うのだが
安全にしたければ、納得できるレベルに自分で作り変えればよい
そのためのオープンソースなのだから
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:1, すばらしい洞察)
それはオープンソース一般論なら正しいかもしれない。
けれども現在のFirefoxはシェアが10%を越えているメジャーなソフトウェアです。
全体の利用者の中で「自分で作り変え」が出来る方が少数派となりつつある。
操作性や拡張性が気に入って使っている利用者にとってはオープンソースであるかどうかは関係ありません。
これだけ普及すると影響力も大きくなって来るので品質管理も厳格であることが求められます。
個人がホビーで作成配布するレベルではなく、適正に管理されたプロジェクトの成果物であることが求められているのです。
Re: (スコア:0)
知ったことではない
対価も貢献も無しに善意とやらにすがるとは何と意地汚いことか。恥を知れ。
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:2, すばらしい洞察)
こういう態度を取るなら普及は望んじゃいけない。
Re: (スコア:0)
じゃ億単位のユーザーが所定の手続きに則って「文句言ったら」対応してね
Re: (スコア:0)
どこのお金か何かで補償させるんだろう??
日本各地で多数行われているなーんの強制力もない自己満足だけの民事訴訟レベルの裁判でもするの?
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:1)
Mozilla Corp. を相手に「IE より安全と謳っていつつ、それが嘘であった」などと言って誇大広告を新聞に打ち、これにより大規模にユーザを騙した、などという話なら普通にアメリカ辺りでいけちゃいそうですが。
単なるオープンソースプロジェクトとしての Firefox や Mozilla.org は訴える対象としては微妙かもしれませんが、Mozilla Corp. ならば妥当かもしれません。一応日本でも Mozilla Japan が商用サポートを行っていたりする訳ですし。
Re: (スコア:0)
明白は言いすぎとしても、Firefoxの方が危険かIEと同等であるという証明は極めて困難ではないだろうか。
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで (スコア:1)
Vista IE7 と Firefox では、保護モードがある分 IE7 の方が安全ではないでしょうか。少なくとも Firefox の方が安全なのは明白、と言うのは疑問符が付きます。
もっとも、ActiveX 周りではまだまだ危険がありそうですが。
# IME の辞書が使えないとか「スタンダード権限の~」が出るのは、低権限状態から通常権限の処理やファイルに触ろうとした結果。
この辺りはマルチプラットフォーム展開である Firefox では容易に対応しづらい点でしょうね。
でたな貢献ゴロ (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
逆に「保証します」というソフトウェアがあったら教えて欲しい。
Re: (スコア:0)
などという嘘で勧誘して獲得したユーザのシェアが10%を
超えたFirefoxなので、実はIE7やIE8より危険だという
事実を知らんふりして無視していることに憤りを感じます。
Re: (スコア:0)
信者はなんでこういうことを書くのかねぇ。
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで(スコア:-1, オフスレッド) (スコア:0)
(スコア:-1, オフトピック)っていうぐらいだから。
Re:「それみたことか、オープンソースは安全じゃない」スレはこっちで(スコア:-1, オフスレッド) (スコア:1)
ストーリーの大分類が「セクション」、小分類が「トピック」 [srad.jp]です。
ストーリー内のコメントのツリー構造は、「スレッド」 [srad.jp]と呼んでいます。
一方、モデレーション用語「オフトピック」の「トピック」は/.用語の「トピック」を指すのではなく「話題」という意味の一般名詞ですね。
「○○スレはこっちで」って表記の場合、「スレ」で間違いではないでしょう。