Firefox 97.0.2 リリース、2 件の ゼロデイ脆弱性を修正 33
ストーリー by headless
修正 部門より
修正 部門より
Mozilla は 5 日、Firefox 97.0.2 および Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0 をリリースした
(セキュリティアドバイザリー 2022-09、
Neowin の記事、
Ghacks の記事)。
これらのリリースでは深刻度「緊急」の Use-After-Free (UAF) 脆弱性が 2 件修正されている。CVE-2022-26485 は XSLT パラメーター処理に存在する脆弱性で、悪用するとリモートからのコード実行が可能となる。CVE-2022-26486 は WebGPU IPC フレームワークに存在する脆弱性で、悪用するとサンドボックス迂回が可能になる。いずれの脆弱性も既にアクティブな攻撃が確認されているとのことだ。
これらのリリースでは深刻度「緊急」の Use-After-Free (UAF) 脆弱性が 2 件修正されている。CVE-2022-26485 は XSLT パラメーター処理に存在する脆弱性で、悪用するとリモートからのコード実行が可能となる。CVE-2022-26486 は WebGPU IPC フレームワークに存在する脆弱性で、悪用するとサンドボックス迂回が可能になる。いずれの脆弱性も既にアクティブな攻撃が確認されているとのことだ。
97.0.1がCrashしまくりだったんですケド… (スコア:2)
この攻撃を受けてたからでしょーか(T_T)
97.0.2にアップデートした途端、ピタリとCrashしなくなりました。
#Linux32bit版です。
#侵入の形跡は有りませんでしたケド、やっぱOSの再インストールしておこーカナ(>_<)
ヒトよりコト・モノに関心を持ち、反応するように心掛けています♪(^^)v
Re:97.0.1がCrashしまくりだったんですケド… (スコア:2)
たくさんのコメントありがとうございまシタ!
親記事だけだと、少し説明不足っポイので、自己フォローしておこうと思います。
ワタシの場合、現在使用中のLubuntu16.04.7(i686)の標準ブラウザ、Firefox88.0から
アップデートされる度に細かに利用していましたが、それまでクラッシュした経験は
ありませんでした。
ところが、97.0.1にしたタイミングで、1時間程度オペレートしていると「ストッ!!」
って感じで、突然窓が閉じてクラッシュするので、驚いてしまったのでした。
(※クリック等、何かのアクションがトリガになっているのではなく、突然です。)
Ubuntuzillaは利用しておらず、ダウンロードして解凍した内容に簡単なshを付けて
Lubuntuの標準ブラウザディレクトリである/usr/lib/firefoxに流し込むという、
実にイージーな差し替え方式で運用していました。
97.0.2の場合も同様で、差し替えた途端クラッシュが収まったので、
親コメントのような書き方になりました。
それ以来、まだクラッシュは一度もしていません。
昨日、念の為OSをHDDのローレベルフォーマットから再インストールしてみましたが、
OSの挙動に異常は無く、その後アレコレ使い込んでも元の安定性を取り戻しています。
今思えば、97.0.1をインストールした時、「アレッ?」と違和感を感じました。
体感レベルですが、全体的な動作が速くなった違和感がありました。
リリースノートからすると、97.0.1は非セキュリティ部分のBugFixだそうで、
ワタシの利用環境の場合、それが悪い方向に修正された可能性は否定できません。
そもそもLinuxで、かつ32bit版なんて使ってる方は非常に少ないでしょうから、
非常にレアなケースだったのかも知れません。
(ドライバ等の環境依存もあれば、更にレアレア。)
それから経緯としては、97.0.1がリリースされてから徐々にクラッシュの頻度が
上がり、97.0.2がリリースされた2日前辺りがピークだったと思います。
そして、その時はネット(プロバイダ)の挙動もおかしくて、パケットを送っても
数秒間認証してくれない状態でした。
(※ワタシの場合、ネット利用は常時【非】接続で、別のWindowsマシンで
特定のパケットを送出することでマニュアルログインをするようにしてます。)
コチラは今は自然復旧しているようです。。
ヒトよりコト・モノに関心を持ち、反応するように心掛けています♪(^^)v
Re: (スコア:0)
設定の「推奨のパフォーマンス設定を使用する」を解除して、「ハードウェアアクセラレーション機能を使用する (可能な場合)」のチェックを外すとか?
あとはクラッシュするなら、クラッシュ時に立ち上がるレポート機能でクラッシュレポートを送ってみるとか。
Linuxで、かつ32bit版の環境が少ないなら見てもらえるかも。
Re:97.0.1がCrashしまくりだったんですケド… (スコア:2)
アドバイスありがとうごさいます♪(^^)ャッテミマス
実はワタシもその辺りは結構疑っておりまして…と言いますのは、
使ってるグラボが四半世紀前の「RIVA TNT2 ULTRA」でありまして、
Lubuntuのインストールも素直には進行して頂けないブツです(^^;)
因みに、今は仕方が無いので、
/home/hoge/firefox9801/
/home/hoge/firefox9171esr/
に展開したプログラムをshで直接起動するようにして様子を見ています。
97.0.2は、その後も割と煩雑なサイトをガシガシ渡り歩いていても落ちてません。
98.0.1はFreezeこそしませんでしたが、数時間程度でCrash落ちしてしまいました。
91.7.1esrは、それほど長時間Runningしていませんが、まだ落ちていません。
基本、動画やストリーミングの自動再生は不要なので全オフにしていますので、
根深い致命的な問題点が表面化していない疑いはあるカモ知れません。
# もうチョット高性能なグラボが無いワケでもない(ただし要修理^^;)ので、
# 修理を完了させた後、意を決して入れ替えしてみよーと思ってます。
ヒトよりコト・モノに関心を持ち、反応するように心掛けています♪(^^)v
Re:97.0.1がCrashしまくりだったんですケド… (スコア:1)
Windows 64bit版はアップデート前もクラッシュしてなかったよ。
最後にFirefoxがクラッシュしたのはいつだろう?
Re: (スコア:0)
Ubuntu 64bit版もヘーキ。メモリ不足じゃね。
Re: (スコア:0)
ブラウザの0day RCEを突くようなハイレベルな攻撃を受けたのであればパソコンごと交換したほうがいいのでは
まあ、脆弱性の報告者がQihoo 360なので中国の大企業に勤めているとかでなければ気にするは必要ないと思いますが
Re: (スコア:0)
ファイルが破損していた可能性が大です。fsckをおすすめします。
Re: (スコア:0)
Firefox のクラッシュは不具合ではなく、メモリーリフレッシュ機能です。
大抵のサイトは起動し直せば復元されるので問題ありません。
だんまりでどんどん重たくなる Chrome よりずっといいです。
Re: (スコア:0)
about:crashesからクラッシュログ確認したらいいよ
クラッシュしまくるような問題が存在してたらbugzillaにクラッシュログと紐づけられたバグが立ってる
Re: (スコア:0)
別人だが、見てみた。
「送信したクラッシュレポートはありません。」
やっぱり最近、クラッシュしてないんだな。
要再起動を教えてくれてありがとう (スコア:1)
Re:要再起動を教えてくれてありがとう (スコア:1)
いつもADAM氏の日記で知る
https://srad.jp/~ADAM/journal [srad.jp]
いい加減にブラウザーも自動再起動要求するようにすべきでは (スコア:0)
Windows版のFirefoxもChromeもEdge、どれもアップデートの適用にはブラウザーの再起動が必要。
これは仕方無いとして、最近の一般人はアプリを終了するという習慣が無く、最近のPCはなかなかフリーズしないのでやむを得ず再起動することも少ない。
特にノートPCは電源を切る人も少なく、画面を閉じるだけや、スリープするだけといった使い方が一般的。
ってことで、アップデートが公開されてもずっと適用されずに放置されることになる。
一応、月1のWindows Updateでは何度も再起動が促されて放置すると強制再起動がデフォルトなので、月1ぐらいではパッチは当たるがそれでは遅すぎる。
Windows Updateみたいに、セキュリティパッチが公開されたらブラウザーの再起動をしつこく促すべきでは。Windows Updateみたいにね。
Re: (スコア:0)
昔はバカでかいダイアログが出て再起動を促してた気がするんだがな
Re: (スコア:0)
Firefoxって自動更新確認をONにしてれば使ってる時でも新しいバージョン出たから更新する?って配布から1日以内に表示されますが、使ったことある?
Re: (スコア:0)
規定の設定だとダウンロードまでは自動でやるだろ
でもその後でブラウザの再起動しないと更新が適用されないことを言ってるんだと思うが
Re: (スコア:0)
自動だとそうなんだが、手動にすると更新をしろってダイアログみたいのが出るので、そっちの方が便利という馬鹿みたいな仕様。
Re: (スコア:0)
Microsoftストアからインストールすれば問答無用で再起動する
Re: (スコア:0)
純粋なUWPアプリならそうだろうけど、パッケージ化したWin32アプリもそうなの?
Re: (スコア:0)
MSIX Package化したアプリなら、すべてそうじゃないかと思うけど、少なくともFirefoxはストアからアップデートされたら、再起動しますか?と聞かれずに、使用中でも再起動するから、立ち上げぱなしの人でも再起動される。
スマホアプリのようにいきなり再起動するから、それもどうかと思うけど。お楽しみ中でもちゅうだんされるので。
Re: (スコア:0)
自分はゲームやらないけど、ブラウザでゲーム中の人だったらキレるんじゃないかな
Re: (スコア:0)
よくスマホゲームで切れてる人がいる。
Google開発者サービスのアップデートで、ゲームのアプリが突然再起動する。
Re: (スコア:0)
っつか再起動しないと反映しないって実装がダサすぎるのに、しつこく促すとかうざい方向しか思い浮かばない時点で毒されてるな。
Re: (スコア:0)
再起動せずに反映させるとなると現在実行中アドレス以降の命令が関係ないものに変わったりするから暴走するよ?
以前ストーリーになった、バッチファイルを書き換えたら不具合が発生したような感じになる。
Re: (スコア:0)
今どきのブラウザってタブ単位でプロセス分離してるからリロードするだけで大丈夫な気がする。
Re: (スコア:0)
親プロセスはどうすんだよ。
Re: (スコア:0)
アップデートプロセスとブラウザの基礎部分を根本から作り直す自由があるとすればどう実現する?
Re: (スコア:0)
Chromeは右上に、更新のためのブラウザ再起動を促す通知が表示されると思う。
Re: (スコア:0)
Firefoxなら、ハンバーガーメニューの右上に緑の●が表示されるし、ハンバーガーメニューを開いたら一番上に再起動を促すメニュー項目が追加表示される。
それだと一般人はアップデートしない (スコア:0)
そこには、セキュリティパッチあてるために再起動が必要(そうしないと危険)だとことが書かれてすらいませんし、
それで「パッチあてるために再起動しなきゃ!」ってなるのはセキュリティに関心がある人だけなんですよ。
↓みたいなダイアログを表示しなきゃ駄目です。
脆弱性を修正するためのアップデートを適用するため、
ブラウザーを再起動する必要があります。
アップデートの適用は、セキュリティ上必要です。
※[1時間後に再度通知する] ボタンは、今回のアップデートでは、あと3回まで利用可能です。
[今すぐ再起動する] [1時間後に再度通知する] [再起動する日時をスケジューリングする]
で、[再起動する日時をスケジューリングする] を押すと、再起動する日時を設定する画面になって、どんなに長くても1週間後までしか設定できなくすれば良いのです。
PayPay銀行 (スコア:0)
https://www.paypay-bank.co.jp/news/2022/0307.html [paypay-bank.co.jp]
Re: (スコア:0)
IR切るついでにFirefoxも切るってパターンちょくちょくあるみたいだなあ