過去ログ表示


過去ログ 305 を表示

トピック内全 12 記事中の 1 〜 10 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1]

【脆弱性】CVE-2009-0652
(#47246) このトピック中1番目の投稿
(環境: Mac/Firefox3.0)

secunia によると Firefox は、
http://secunia.com/advisories/34096/
Level2 のなりすまし脆弱性が、もう長いこと Unpatched の状態になっています。
根拠となったところを見てみると、
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0652
Fx 3.0.6 について言及されたもの。

もしかして、現行バージョンでは直っているのでしょうか?

見あたらないんですが...
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.8

Re[1]: 【脆弱性】CVE-2009-0652
(#47249) このトピック中2番目の投稿
(環境: WinXP SP3/Minefield)

> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0652

細かいところまで見ていませんが、こちらで、
some third parties claim that 3.0.6 is not affected, but much older versions perhaps are affected.
(3.0.6では影響はないが、もっと古いバージョンでは影響があるかもしれない)
とも書かれています。


> http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.8

見るなら、Secuniaで「The security issue is confirmed in version 3.0.6. (3.0.6で確認されている)」とも言われているようですので、
3.0.8だけではなく、3.0.7のほうも見てみましょう。


> もしかして、現行バージョンでは直っているのでしょうか?

セキュリティバグは修正されればリストに載るはずですから、載っていない以上、修正されていないと思います。

Re[1]: 【脆弱性】CVE-2009-0652
(#47250) このトピック中3番目の投稿
(環境: Mac/Firefox3.0)

> http://secunia.com/advisories/34096/
> Level2 のなりすまし脆弱性が、もう長いこと Unpatched の状態になっています。

長いこと、というのは 7 週間程度でしょうか?
Firefox の場合、通常のセキュリティアップデートは 6 週間程度のサイクル、かつ修正完了からリリースまでに品質保証等に必要な期間が 4 週間程度かそれ以上あるので、まだ Unpatched なのはしかたのないところではあります。

> もしかして、現行バージョンでは直っているのでしょうか?

まず、Secunia の説明のみでは "/" 等に似たような文字、という記述のみで具体的にどの文字なのかの記載がなく、直っているかどうかの判断が不可能です。
まっさきに思いつくのは "/" ですが、これについてはずっと前に対処済です。
Original Advisory: のリンク先に記載されているケースについてでしたら、Firefox 3.0.9 で修正されます。

Re[2]: 【脆弱性】CVE-2009-0652
(#47251) このトピック中4番目の投稿
(環境: WinVista/Minefield)

No47250に返信(あさんの記事)
> まず、Secunia の説明のみでは "/" 等に似たような文字、という記述のみで具体的にどの文字なのかの記載がなく、直っているかどうかの判断が不可能です。
> まっさきに思いつくのは "/" ですが、これについてはずっと前に対処済です。
> Original Advisory: のリンク先に記載されているケースについてでしたら、Firefox 3.0.9 で修正されます。Mac/Firefox3.0

文字さえ分かっていれば、ユーザがabout:configから修正することも可能です。
やばい、と感じるならご自分でnetwork.IDN.blacklist_charsを修正してはどうでしょうか?
# でもblacklistはそれなりに調査して作ったので、ひょっとするとblacklistの処理自体に何かバグがあるのかもですが

まあ、どうしても不安であればIDN自体を無効にしてしまうのも手ですね。

Re[3]: 【脆弱性】CVE-2009-0652
(#47252) このトピック中5番目の投稿
(環境: Mac/Firefox3.0)

あ さん、中野さん、

有用なコメントをありがとうございます。

> 長いこと、というのは 7 週間程度でしょうか?

はい。

> Firefox の場合、通常のセキュリティアップデートは 6 週間程度のサイクル、かつ修正完了からリリースまでに品質保証等に必要な期間が 4 週間程度かそれ以上あるので、まだ Unpatched なのはしかたのないところではあります。

なるほど。

> Original Advisory: のリンク先に記載されているケースについてでしたら、Firefox 3.0.9 で修正されます。

期待しています。
# 頑固な ie 利用者に Fx を勧める時に、これがネックになってます。
 「すぐに直す」というイメージが遠くなりつつあります。


ありがとうございました。
済!
Re[4]: 【脆弱性】CVE-2009-0652
(#47260) このトピック中6番目の投稿
(環境: Mac/Firefox3.0)

> 文字さえ分かっていれば、ユーザがabout:configから修正することも可能です。
> やばい、と感じるならご自分でnetwork.IDN.blacklist_charsを修正してはどうでしょうか?
> # でもblacklistはそれなりに調査して作ったので、ひょっとするとblacklistの処理自体に何かバグがあるのかもですが

https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2009-0652
単に blacklist に入っていなかっただけでした。
発端は U+2571 BOX DRAWINGS LIGHT DIAGONAL UPPER RIGHT TO LOWER LEFT で、合わせて他にもいくつか追加したようです。

> # 頑固な ie 利用者に Fx を勧める時に、これがネックになってます。
>  「すぐに直す」というイメージが遠くなりつつあります。

イメージで話すと、修正をもって直したとするのか、それともユーザーの手に渡って初めて直したとするのか、を混同している部分もあるのではないかと思います。
修正について言えば、2/24 に完了しています。緊急性のあるものでなければ修正の度にリリースするわけではありませんから、ユーザーの手に渡るまでにはどうしても時間がかかってしまいますね。
もちろん緊急性のあるものであれば、Firefox 3.0.8 がそうだったように、すぐにリリースされますが。

Re[5]: 【脆弱性】CVE-2009-0652
(#47262) このトピック中7番目の投稿
(環境: WinVista/Minefield)

No47260に返信(あさんの記事)
>>文字さえ分かっていれば、ユーザがabout:configから修正することも可能です。
>>やばい、と感じるならご自分でnetwork.IDN.blacklist_charsを修正してはどうでしょうか?
>># でもblacklistはそれなりに調査して作ったので、ひょっとするとblacklistの処理自体に何かバグがあるのかもですが
>
> https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2009-0652
> 単に blacklist に入っていなかっただけでした。
> 発端は U+2571 BOX DRAWINGS LIGHT DIAGONAL UPPER RIGHT TO LOWER LEFT で、合わせて他にもいくつか追加したようです。

どうもです。この辺、他のブラウザのセキュリティにも関わることなので、そろそろ然るべきところで使っちゃいけない文字を定義してほしいですね(RFC or something)。ブラウザベンダが気を使ってブラックリストを作る現状は絶対おかしいです。

Re[6]: 【脆弱性】CVE-2009-0652
(#47267) このトピック中8番目の投稿
(環境: Mac/Firefox3.0)

あ さん、中野さん、

詳しい人の話が聞けて良かったです。
2/24 に完了していたのであれば、03/04 のFirefox 3.0.7 にはきつくても
03/27 の Firefox 3.0.8 のついでにやってくれても良かったのに...
ie からの乗り換えを促したい対象者の皆様は、英文を読みたくない人も多く、
残念なことに secunia ゲージ画像のあの「緑色」にしか目がいかないのでした。

Re[7]: 【脆弱性】CVE-2009-0652
(#47278) このトピック中9番目の投稿
(環境: WinXP SP3/Minefield)

本日の3.0.9で修正されたようです。
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.9

もじら組のブラウザ判定
(#47283) このトピック中10番目の投稿
(環境: Linux/Firefox3.0)

早速入れました。

Firefox 3.0.9だともじら組TOPのブラウザ判定が

Hey!
ご案内: 最新版は Firefox 3.0.8 / Camino1.6.7 / SeaMonkey 1.1.15 です。
これより古いバージョンをお使いでしたら 最新版をダウンロード してください。
お使いのブラウザ:
Mozilla/5.0 (X11; U; Linux i686; ja; rv:1.9.0.9) Gecko/2009040820 Firefox/3.0.9

この掲示板でも...


[ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1]

返信不可


- Child Tree -