パスワードを忘れた? アカウント作成
208506 story
セキュリティ

ハッキングコンテストで見つかった脆弱性を修正した Firefox 3.6.3 24

ストーリー by reo
動画がよくわからんかった… 部門より

masakun 曰く

今年開催されたハッキングコンテスト Pwn2Own で Apple iPhone と Safari、Microsoft IE8 、Firefox が数分で攻略されましたが、そこで報告された「スコープの混同による解放済みオブジェクトの再使用」(MFSA 2010-25, Secunia Adovisary (SA39175) での評価は Highly critical) の問題を修正した Firefox 3.6.3 が 2010 年 4 月 1 日にリリースされました。

ところで Pwn2Own 2010 Windows 7 IE8 exploit (YouTube 動画) にて IE8 に実装された 2 つの保護機能を回避して電卓プログラムを起動するデモが見られますが、先週水曜日にリリースされた Internet Explorer 用の累積的なセキュリティ更新プログラム (980182) に含められているのでしょうか? (関連記事:CNET Japan の記事) 。さらには Mac の対応も気になります。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by greentea (17971) on 2010年04月06日 13時03分 (#1744120) 日記

    タイトル、typoしてますよ。
    ケブンリッジ効果 [itmedia.co.jp]なのか、不思議と読めますが。

    --
    1を聞いて0を知れ!
  • 後半部分は余計 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年04月06日 13時46分 (#1744153)
    タレコミ分の後半部分、IEとMacに関するところは余計ですね。

    「Firefoxは対応が早くていいんだぞ」と言いたいのでしょうけど、
    脆弱性が多くて、次から次へと修正してはバージョンを上げてリリースする
    Firefoxと、脆弱性の数が少なくて、基本的には月に一回しか修正をリリース
    しないMSと、たくさんある脆弱性を不定期にまとめて大量にリリースする
    Appleを比較してもしょうがない。

    3/31にリリースされた修正は、未修正の脆弱性のうち、すでに攻撃が開始
    されたことが確認されたから緊急対応されたまで。
    攻撃が未確認の脆弱性は基本的に月例アップデートで対応しますよ。

    セキュリティに強いと宣伝していたFirefoxも、あっさり攻略されちゃって、
    修正までの早さをアピールするしかなくなったって苦しい気持ちはわかるけど。
    • by JULY (38066) on 2010年04月06日 14時33分 (#1744179)

      五十歩百歩じゃない?

      MS10-??? で Internet Explorer のセキュリティ事項となっているのは

      の2件。

      要点の冒頭に書いてある「何件の脆弱性」というのを数えると、MS10-0002 が 7+1 件、MS10-018 が 9+1 件、合計 18 件

      Firefox の今年の脆弱性は、

      で見ると 25 件。

      まぁ、重要度の問題とか、複数のバージョンにまたがっているのをどうカウントするのか、といったところを考慮していないので、ものすごく大雑把だけど、脆弱性の数に限っては IE と Firefox の差は五十歩百歩って感じじゃないかなぁ。

      親コメント
      • by Anonymous Coward
        > 要点の冒頭に書いてある「何件の脆弱性」というのを数えると、MS10-0002 が 7+1 件、MS10-018 が 9+1 件、合計 18 件

        それって、全部ひっくるめてですよね。
        IEの5.01~IE8で、WindowsXP ~ Windows7 (Server含む)で。

        Windows7のIE8という条件の話だったと思うので、それでいえば一番軽い「注意」も
        含めても10件しかありませんけれど?

        それとも、公平にFirefoxも古いバージョンの脆弱性も含めて数えてみたら?

        古いバージョンも全部合わせての数と、最新版のものだけの数を比較して、それでも
        多いってどうですか?
        • by JULY (38066) on 2010年04月06日 16時41分 (#1744266)

          それって、全部ひっくるめてですよね。 IEの5.01~IE8で、WindowsXP ~ Windows7 (Server含む)で。 Windows7 のIE8という条件の話だったと思うので、それでいえば一番軽い「注意」も 含めても10件しかありませんけれど? それとも、公平にFirefoxも古いバージョンの脆弱性も含めて数えてみたら? 古いバージョンも全部合わせての数と、最新版のものだけの数を比較して、それでも 多いってどうですか?

          うん、仰っている通りで、私の書いた数字は文中にも書いてある通り「大雑把」な数字で、厳密な数字じゃないですよ。

          IE より Firefox の方が脆弱性が多い、という話の根拠となる数字が欲しかったんだけど、とりあえず、短時間でぱっと調べられる範囲の数字を出してみたら、あんな数字だった、というだけ。

          とりあえず、Firefox に関しては、3.0、3.5 のページを見ても、3.6 に出てくる MFSA 2010-25 が最大の番号なので、全部ひっくるめて 25 件です。3.6 のページにあるのを数え上げると 21 件ですね。

          最新バージョンで見れば、IE の方が確かに少ないですね。私も個人的な感覚としては IE8 on Windows 7 は優秀な印象はあります。

          ただ、厳密な話をしだすと、開発元が塞いだセキュリティの数よりも、CVE に登録された数で比較すべきかもしれないし、それに重要度や Fix されるまでの期間も考慮、なんて事になると、私個人として、そこまで調べる気が無いので、誰か調べてくれる(もしくは、そんなレポートがすでにある?)とうれしいなぁ、とは思います。

          親コメント
    • Re:後半部分は余計 (スコア:3, すばらしい洞察)

      by fcp (32783) on 2010年04月06日 23時11分 (#1744550) ホームページ 日記

      Firefox にセキュリティーホールが見つかるたびに、「Firefox は修正が速くて素晴らしい」と持ち上げる人というのは確かにいますが、まあ信者さんの自己主張は放っておくのが良いと思います。

      攻撃手法が先に公開されてしまったから急遽対処した今回の件ですが、素直にご苦労さまと思っておけば良いんじゃないでしょうか。すぐに対処できればするに越したことはないわけで。「じつは直っていなかった」とか「慌てて直したせいで別のところにバグが入っていた」とか、そういう話も今のところないようですし。

      親コメント
      • by Anonymous Coward

        少なくとも/.Jに関する限り、むしろ毎回「ほれみたことかFirefoxはセキュリティホールも毎年こんなにたくさん見つかってる危険だ危険だ」と必死にネガティブキャンペーンしてるアンチのほうが目につくんですが(とくにしきい値を下げると)。

    • by Anonymous Coward

      修正してはバージョンを上げてリリースするFirefox
      月に一回しか修正をリリースしないMS
      たくさんある脆弱性を大量に(中略)リリースするApple

      …なんか、一社だけ、別のモノをリリースしてないか?

    • by Anonymous Coward

      脆弱性の比較は数ではなく、危険度と修正にかかった期間でするべきでは?

      数が少なくても、ユーザーがゼロデイ脆弱性に晒されている期間が長ければ意味がないんじゃないですかね。
      (今回の件は非公開なので関係ないですが)

      # 「うちのソフトは脆弱性が少ない!」なんて主張するために脆弱性隠しされたんじゃ困りますし。
      # なので数だけで評価するようなことはやめてほしいのですが…。

  • by Anonymous Coward on 2010年04月06日 14時32分 (#1744178)

    ポンポンアップデートを出すのはかまわんがいい加減 firefox も thunderbird も
    標準的に msi 形式で配ってくれ。ついでにADのポリシーテンプレートもあるとうれしい。

  • by Anonymous Coward on 2010年04月06日 12時41分 (#1744105)

    以前も書いた気がするけど、return-to-libcでDEPを迂回できることは最初からわかりきってたことなのに、いつの間にセキュリティ機能になってたの?
    DEPを回避しなければコード実行できないとなればマルウェアがコード回避してくるのは超当然。
    今までXPが圧倒的だったからマルウェア作者も真面目に対策してなかったけどそろそろWindows 7のシェアが無視できなくなってきたってだけだろ。

  • by Anonymous Coward on 2010年04月06日 12時51分 (#1744113)
    >今週水曜日にリリースされた

    今週水曜日って明日なんですけど。
  • by Anonymous Coward on 2010年04月06日 16時44分 (#1744267)

    (誰も使ってないかもしれないが)SafariはWindows版もあるし、iPhoneはMacじゃないんだから、ここはAppleとすべきじゃないの?

    件のコンテストでは、Chromeは少なくとも初日は生きのびた [computerworld.jp]という話なので、多分WebKit本体の話じゃないんだろうけど。

  • by Anonymous Coward on 2010年04月07日 9時37分 (#1744701)

    なんでかね?

    起動時の設定で「ホームページを表示する」にしてて、ホームページに|区切りでずらずらっと10個ばかしURL並べてる。
    それが最初の2URLだけしか表示されなくなっちゃった。
    ホームボタンを押せば全部表示されるのに・・・

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...