アカウント名:
パスワード:
英語のMFSA 2007-35 [mozilla.org]の方が読みやすいですね。XPCNativeWrappersってのは、Firefoxのプログラム中のスクリプト (各種メニュー操作とか) と、ウェブサイト中のスクリプトがバッティングするのを避ける機構 (Safely accessing content DOM from chrome - MDC [mozilla.org]←内容は日本語です)。MFSA 2007-35によると、スクリプト要素からXPCNativeWrappersフラグを切り替えることが出来てしまっていたようで、ブラウザが実行するメソッドやプロパティをウェブサイト中のものに置き換えることが出来てしまっていた (これと同種の問題がMFSA 2007-25)。これを悪用すると、例えばコンテキストメニューの項目からどういうコードを実行するかは判るから、あるメニュー項目を実行するとブラウザの特権レベルで任意のスクリプト (例えば任意のドメインのクッキーの内容の取得とか、任意のドメインへのXMLHttpRequestによる送信とか) が実行可能、ってなことなんじゃないかと思います。
"the same privileges as the user" だからブラウザの特権レベルじゃなくユーザの特権レベル? ブラウザとウェブサイト以外の「特権」ってありましたっけ。コンテキストメニューが云々だからFirefoxレベルだと思うけど。
試してもないし専門家でも無いんで、適当にフォローして下さいませ (投げやり)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
毎度言われてるが (スコア:-1, オフトピック)
Re:毎度言われてるが (スコア:-1, オフトピック)
わざわざトップに持ってきてるどっかのディストリネタ [srad.jp]よりずっと真っ当な扱いだぞ。
Re:毎度言われてるが (スコア:0)
インパクトのあるセキュリティフィックスが行われたことで
速やかにアップデートを促すことを喚起する、といった名分が無ければいかんだろ。
なのに、注釈も無しに「英語のセキュリティ勧告ページを参照ください」というのは
なんの意味も意義も議論のネタにもなりはしない。
Firefoxセクションならば、文句は言わん。
Re:毎度言われてるが (スコア:1)
俺英語読めないんで、Script オブジェクトを通じた XPCNativeWraper 汚染 [mozilla-japan.org]ってのがどの程度インパクトあるか分からんかったの。
でも重要度が最高になってたから、一応セキュリティだよなあ、と選んでおいたの。
日本語になってもなんだかよく分からんなこれ....
誰か解説頼むー。
Re:毎度言われてるが (スコア:2, 参考になる)
英語のMFSA 2007-35 [mozilla.org]の方が読みやすいですね。XPCNativeWrappersってのは、Firefoxのプログラム中のスクリプト (各種メニュー操作とか) と、ウェブサイト中のスクリプトがバッティングするのを避ける機構 (Safely accessing content DOM from chrome - MDC [mozilla.org]←内容は日本語です)。MFSA 2007-35によると、スクリプト要素からXPCNativeWrappersフラグを切り替えることが出来てしまっていたようで、ブラウザが実行するメソッドやプロパティをウェブサイト中のものに置き換えることが出来てしまっていた (これと同種の問題がMFSA 2007-25)。これを悪用すると、例えばコンテキストメニューの項目からどういうコードを実行するかは判るから、あるメニュー項目を実行するとブラウザの特権レベルで任意のスクリプト (例えば任意のドメインのクッキーの内容の取得とか、任意のドメインへのXMLHttpRequestによる送信とか) が実行可能、ってなことなんじゃないかと思います。
"the same privileges as the user" だからブラウザの特権レベルじゃなくユーザの特権レベル? ブラウザとウェブサイト以外の「特権」ってありましたっけ。コンテキストメニューが云々だからFirefoxレベルだと思うけど。
試してもないし専門家でも無いんで、適当にフォローして下さいませ (投げやり)。
Re:毎度言われてるが (スコア:0)
つまり、「『リモートが指定したローカルファイル』をソースにしたスクリプトオブジェクト」は実行されないという意味では安全だが、chrome特権(コンテキストメニューとか)を使った時に読み込めて、そのローカルファイルの中身がなんとなくわかるっていう意味だと思う。ほぼ当てずっぽうだけど。
Re:毎度言われてるが (スコア:0)
ブラウザ自身がアップデートを知らせてくれるのは頼もしいものだ。
そろそろMSのように、インストールも自動で行うオプションを搭載しても良い頃じゃないか?
#それがウザイなら切ればいい。自力で切れない奴ならアップデートは強制した方がいい。
Re:毎度言われてるが (スコア:2, 参考になる)
「Firefoxの更新が見つかったとき」という項目の、
「自動的に更新をダウンロードしてインストールする」にチェックを入れる。
これでOK。
Re:毎度言われてるが (スコア:0)
Re:毎度言われてるが (スコア:0)
Re:毎度言われてるが (スコア:0)
おそろしいことではあるけど。
またそのことが広く知られていないのがさらに不幸。
非adminで使ってるひとはほとんどいないからね。
切り替えたつもりでなってない人もいっぱいいるし。
Re:毎度言われてるが (スコア:0)
今回ようやく気をつけて、差分ダウンロード後に出てくるダイアログでは「後で」を選択し、管理者として起動しなおしてから更新を実行したところ、正常に更新できました。
でもまたついうっかり、忘れて「今すぐ再起動」しまうんでしょうね……。
Firefox自身が再起動のときに管理者として起動しようとしてくれると良いのですが。