Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.
NOTE: This issue was previously covered in BID 50089 (Apple Safari Prior to 5.1.1 Multiple Security Vulnerabilities) but has been given its own record to better document it.
馬鹿丸出しだな (スコア:0)
本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。
About the security content of Safari 6.0.1 [apple.com]:
Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.
つまり、 Safari 6 で導入された新しい機能のバグ。6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ。周知の通りWindows版の Safari 6 は存在しない [appleinsider.com]。Windows版に存在しない脆弱性なので使用を停止する必要などない。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:3, すばらしい洞察)
その論調だと
「mountain lion以外のMacOSバージョンならなにやろうとも脆弱性はない」
くらい無茶な話になってしまいますね。
もちろん、その時点でsafari6を入れていたとしても。
そのくらい無茶なことをあなたは振りかざして暴れています。
そんなの無茶なのはまともな人間ならすぐ理解しますので、
「単にAppleの書きっぷりがイマイチなだけ、safari5などもダメだろう」が
容易に推測されますし
あなた以外はそれで困りません。
なぜかあなただけは
「mountain lion以外ならsafari6でも安全」と言い張っています。
Appleを守りたいがためにでしょうが本当に気持ち悪い。
Re:馬鹿丸出しだな (スコア:2, 参考になる)
6.0.1に関する記述だから、(6.0.1が)出ていないwindowsに関しては書いていないだけじゃない?
Vulnerability Summary for CVE-2012-3713 [nist.gov]
ここでは影響受けるバージョンは6.0.1より前と書いてある
Re:馬鹿丸出しだな (スコア:2, 興味深い)
#2257373氏 [srad.jp]の発言通り、貴方の間違いです。
NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
(引用したらSlashcodeに怒られたので、影響範囲は各自リンク先をご覧ください)
勘違いしたモデレータにプラスモデされちゃっていますから、ご自身で訂正をなさった方がよろしいのでは?
Re:馬鹿丸出しだな (スコア:1)
上の方にいる英語も日本語も不自由なACはスルーするとして、CVEのデータベースでは過去の全てのバージョンが含まれてるからIPAのWindows 版 Safari 使用停止の勧告は正しいとする意見には反論しとく。
NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw 今回の脆弱性についての詳細な記事がないので、今回の脆弱性(CVE-2012-3713)を報告したAaron Sigel氏が見つけ本人のブログで記事 [blogspot.jp]になっている別の脆弱性(CVE-2011-3229)と比較してみる:
CVE-2011-3229 [nist.gov]
CVE-2012-3713 [nist.gov]
v5.0以前には無い機能に起因する脆弱性なのだからCVE-2011-3229についてはNDVは明らかに間違っている。脆弱性の説明を読めばCVE-2012-3713はv6.0以降の物と分かるので、参考にならないNVDのデータを指し示してv6.0より前のバージョンしかないWindows 版 Safari にもこの脆弱性が存在するとするのは無理がある。大体、この脆弱性はインターネットからダウンロードしたHTMLファイルの属性にその旨を記録して、開くときにその権限を制限するというセキュリティ機能に関連した物だろ。この機能ってWindows 版 Safari にはないんじゃないか?Windows 版 Safari にダウンロードしたファイルに属性をつける機能があったとしてもOSレベルのセキュリティ機能なんだからマイクロソフトが参照しないので意味が無いな。どう考えてもIPAのWindows 版 Safari 使用停止の勧告は馬鹿丸出しなんだが。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:1)
あなたが参照しているISSの「Platforms Affected」も適当なようですけど。
Re:馬鹿丸出しだな (スコア:2)
あなたが参照しているISSの「Platforms Affected」も適当なようですけど。
全てのバージョンを含んでないだけ何らかの努力の跡がみられけど確かに間違ってるなw
どうやらISSは「Platforms Affected」の項目はCVEではなくBIDのデータベースを参照してるようだな。CVE-2011-3229つまりBID-50163 [securityfocus.com]の説明を読むと間違いの原因が推測できる:
NOTE: This issue was previously covered in BID 50089 (Apple Safari Prior to 5.1.1 Multiple Security Vulnerabilities) but has been given its own record to better document it.
BID-50089には複数の脆弱性が含まれるからv4.xも影響を受けるとなってる所に、そこから派生させたBID-50163にも流用されてしまったという事なんだろう。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:1)
さすがにまだ知らないってことはないだろ。
Re: (スコア:0)
Re: (スコア:0)
crassが無駄な抵抗を試みたが、論破されてしまったと。
Re: (スコア:0)
別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
Re:馬鹿丸出しだな (スコア:1)
> 別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
どっちも同じ穴のなんとやらです。
Appleは問題を小さく見せかけるために
「あたかも些細なことのように範囲を絞る」ことをしています。
そういうのは害しかありません。
セキュリティの世界では論外です。
次に、OSレイヤとアプリレイヤの区別をごっちゃにしたcrass氏は
そこで「Safariの脆弱性」を「OSの脆弱性」に混ぜて
Appleの対応は問題ないと主張しました。
もし本気で言っているなら邪魔だ10年勉強してこいレベルの論外ですし、
自身が違和感を感じつつもAppleを擁護するために無茶な意見を主張したなら
これもセキュリティの世界では害であり論外です。
Re:馬鹿丸出しだな (スコア:1)
セキュリティの世界では論外です。
論外だからむしろ、ぴんぴん生きていけるわけか。
ノーガード的な。
#225734についてはもう、十分に誤りだと認識される状況にありましょう。
その勢いでAppleにも噛みついてきてくれ。
Appleは人類の敵 (スコア:0)
ただそれだけの事さ
馬鹿丸出しはお前だ (スコア:1)
Safari 6のリリース時にこれだけ脆弱性が修正されたと言っていますが何か?
https://support.apple.com/kb/HT5400 [apple.com]
むしろなんで今さらこんなこと言い出すんだろう。遅すぎ。
Re: (スコア:0)
そもそもChromeで修正されたWebKitの任意コード実行の脆弱性は全部Safariにもあると思うべき。
http://support.apple.com/kb/HT5568 [apple.com]
http://googlechromereleases.blogspot.jp/2012/10/stable-channel-update_... [blogspot.jp]