Safariに脆弱性が見つかる。Windows版は新バージョンが出ていないためIPAなどが使用停止を勧告 65
ストーリー by hylom
Windows版Safariとはなんだったのか 部門より
Windows版Safariとはなんだったのか 部門より
unipst 曰く、
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)による脆弱性対策情報ポータルサイト「JVN」が23日、Apple Inc.が提供しているWebブラウザー「Safari」に脆弱性が含まれていることを発表した(窓の杜)。
JVNの発表によると、Safari v6.0.1より前のバージョンで本脆弱性の影響を受けるとしており、脆弱性を悪用された場合、リモートからローカルファイルを読み取られる恐れがあるとしている。
本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。
レガシーなOSXユーザはともかく (スコア:0)
Win版Safariを常用してる人っているの?
動作チェック用としてもアレな感じなのに……
Re: (スコア:0)
> 動作チェック用としてもアレな感じなのに……
プロなら専門的で素人が購入するとは考えにくい開発マシン(別名: Mac)で検証してるよね。
Re: (スコア:0)
同じWebKit系のChromeで十分やないの?
ユーザー数からいっても。
Re:レガシーなOSXユーザはともかく (スコア:1)
ChromeとSafariではけっこう違うよ(WebKitBlobBuilderがないとかvideoタグで再生できるメディアとか)。
Chromeは自動更新で常に最新機能がガンガン投入されるけどSafariの更新は基本的に年1回程度なので使えない機能がけっこうあるし。
Re: (スコア:0)
フォントレンダラも全く違いますよね
Re: (スコア:0)
Safari→Webkit2
Chrome→Webkit
だから同じじゃないよ。
Re: (スコア:0)
WebKitとWebKit2にはブラウザエンジンとしての違いはほとんどないよ。
http://steps.dodgson.org/b/2012/03/28/webkit2-and-other-approaches/ [dodgson.org]
Re: (スコア:0)
Windows版Safariって、Windowsを危険に陥れるための卜口E
だからな、使うやつがアホってなもんだ。
Re: (スコア:0)
ただしiTunes入れると、よほど注意しない限り自動的にインストールされてしまう謎のブラウザ。
Re:レガシーなOSXユーザはともかく (スコア:2, おもしろおかしい)
両親のPCにSafariが入っていたので、なぜか聞いたらiPod Shuffleを購入し、iTunesのインストールと同時に入ってしまったとのことだった。
そして、iPod shuffleは小さすぎて、無くしていた。
Re: (スコア:0)
おかげで、たまにQuickTimeを必要とするようなレガシーアプリを使おうとして困ってしまう・・・。
Re:レガシーなOSXユーザはともかく (スコア:2)
レガシー環境がメインなので最近の事情はわかりませんが、付属するQuickTimeが必要最低限に絞り込まれたかiTunes自体がQuickTime無しで動作するように変更されたということですか?
QuickTime Playerに依存するアプリというのも考えにくいですし。
Re: (スコア:0)
Macのほうは(iOSとの共通化の一環で)AV Foundationというのに移行したらしいのでWindowsに移植されたアプリにもそれなりの変更が加えられたんじゃないの。
QuickTimeがなくなったと聞いたときにはまじショックだった。でもWindowsもDirectShowをフェードアウトさせてMedia Foundationに移行してるしそんなものかー。ちょっとでも勉強を怠るとすぐおいてけぼり。
Re: (スコア:0)
で、QuickTimeの最新版はどこにも置いてなくて、ものすごく分かりにくい場所に置いてある古いバージョンを探してインストールしてオンラインアップデートしなければなりません。
馬鹿丸出しだな (スコア:0)
本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。
About the security content of Safari 6.0.1 [apple.com]:
Description: In OS X Mountain Lion HTML files were removed from the unsafe type list. Quarantined HTML documents are opened in a safe mode that prevents accessing other local or remote resources. A logic error in Safari's handling of the Quarantine attribute caused the safe mode not to be triggered on Quarantined files. This issue was addressed by properly detecting the existence of the Quarantine attribute.
つまり、 Safari 6 で導入された新しい機能のバグ。6.0で登場し6.0.1で対応がなされた訳で、この脆弱性が存在するバージョンは6.0だけ [iss.net]だ。周知の通りWindows版の Safari 6 は存在しない [appleinsider.com]。Windows版に存在しない脆弱性なので使用を停止する必要などない。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:3, すばらしい洞察)
その論調だと
「mountain lion以外のMacOSバージョンならなにやろうとも脆弱性はない」
くらい無茶な話になってしまいますね。
もちろん、その時点でsafari6を入れていたとしても。
そのくらい無茶なことをあなたは振りかざして暴れています。
そんなの無茶なのはまともな人間ならすぐ理解しますので、
「単にAppleの書きっぷりがイマイチなだけ、safari5などもダメだろう」が
容易に推測されますし
あなた以外はそれで困りません。
なぜかあなただけは
「mountain lion以外ならsafari6でも安全」と言い張っています。
Appleを守りたいがためにでしょうが本当に気持ち悪い。
Re:馬鹿丸出しだな (スコア:2, 参考になる)
6.0.1に関する記述だから、(6.0.1が)出ていないwindowsに関しては書いていないだけじゃない?
Vulnerability Summary for CVE-2012-3713 [nist.gov]
ここでは影響受けるバージョンは6.0.1より前と書いてある
Re:馬鹿丸出しだな (スコア:2, 興味深い)
#2257373氏 [srad.jp]の発言通り、貴方の間違いです。
NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
(引用したらSlashcodeに怒られたので、影響範囲は各自リンク先をご覧ください)
勘違いしたモデレータにプラスモデされちゃっていますから、ご自身で訂正をなさった方がよろしいのでは?
Re:馬鹿丸出しだな (スコア:1)
上の方にいる英語も日本語も不自由なACはスルーするとして、CVEのデータベースでは過去の全てのバージョンが含まれてるからIPAのWindows 版 Safari 使用停止の勧告は正しいとする意見には反論しとく。
NIST [nist.gov]でもJPCERT [jpcert.or.jp]でも確認できます。
JPCERTはNIST(NVD)のを写しただけだろうからNVDだけを扱うが、「Vulnerable software and versions」の項目は適当なだけw 今回の脆弱性についての詳細な記事がないので、今回の脆弱性(CVE-2012-3713)を報告したAaron Sigel氏が見つけ本人のブログで記事 [blogspot.jp]になっている別の脆弱性(CVE-2011-3229)と比較してみる:
CVE-2011-3229 [nist.gov]
CVE-2012-3713 [nist.gov]
v5.0以前には無い機能に起因する脆弱性なのだからCVE-2011-3229についてはNDVは明らかに間違っている。脆弱性の説明を読めばCVE-2012-3713はv6.0以降の物と分かるので、参考にならないNVDのデータを指し示してv6.0より前のバージョンしかないWindows 版 Safari にもこの脆弱性が存在するとするのは無理がある。大体、この脆弱性はインターネットからダウンロードしたHTMLファイルの属性にその旨を記録して、開くときにその権限を制限するというセキュリティ機能に関連した物だろ。この機能ってWindows 版 Safari にはないんじゃないか?Windows 版 Safari にダウンロードしたファイルに属性をつける機能があったとしてもOSレベルのセキュリティ機能なんだからマイクロソフトが参照しないので意味が無いな。どう考えてもIPAのWindows 版 Safari 使用停止の勧告は馬鹿丸出しなんだが。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:1)
あなたが参照しているISSの「Platforms Affected」も適当なようですけど。
Re:馬鹿丸出しだな (スコア:2)
あなたが参照しているISSの「Platforms Affected」も適当なようですけど。
全てのバージョンを含んでないだけ何らかの努力の跡がみられけど確かに間違ってるなw
どうやらISSは「Platforms Affected」の項目はCVEではなくBIDのデータベースを参照してるようだな。CVE-2011-3229つまりBID-50163 [securityfocus.com]の説明を読むと間違いの原因が推測できる:
NOTE: This issue was previously covered in BID 50089 (Apple Safari Prior to 5.1.1 Multiple Security Vulnerabilities) but has been given its own record to better document it.
BID-50089には複数の脆弱性が含まれるからv4.xも影響を受けるとなってる所に、そこから派生させたBID-50163にも流用されてしまったという事なんだろう。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re:馬鹿丸出しだな (スコア:1)
さすがにまだ知らないってことはないだろ。
Re: (スコア:0)
別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
Re:馬鹿丸出しだな (スコア:1)
> 別ACですが、Appleの説明を読む限り間違っているのはcrass氏というより、Appleじゃね?
どっちも同じ穴のなんとやらです。
Appleは問題を小さく見せかけるために
「あたかも些細なことのように範囲を絞る」ことをしています。
そういうのは害しかありません。
セキュリティの世界では論外です。
次に、OSレイヤとアプリレイヤの区別をごっちゃにしたcrass氏は
そこで「Safariの脆弱性」を「OSの脆弱性」に混ぜて
Appleの対応は問題ないと主張しました。
もし本気で言っているなら邪魔だ10年勉強してこいレベルの論外ですし、
自身が違和感を感じつつもAppleを擁護するために無茶な意見を主張したなら
これもセキュリティの世界では害であり論外です。
Re:馬鹿丸出しだな (スコア:1)
セキュリティの世界では論外です。
論外だからむしろ、ぴんぴん生きていけるわけか。
ノーガード的な。
#225734についてはもう、十分に誤りだと認識される状況にありましょう。
その勢いでAppleにも噛みついてきてくれ。
馬鹿丸出しはお前だ (スコア:1)
Safari 6のリリース時にこれだけ脆弱性が修正されたと言っていますが何か?
https://support.apple.com/kb/HT5400 [apple.com]
むしろなんで今さらこんなこと言い出すんだろう。遅すぎ。
毎度毎度 (スコア:0)
Appleのセキュリティホールっぷりには頭が下がる。
どうやったらこの姿勢を改められるのかね
Re: (スコア:0)
Re: (スコア:0, 参考になる)
ろくに対応しないから、こんな呼びかけをする羽目になってるわけなんだから、「ここまでの姿勢」は関係あるだろう
Re:毎度毎度 (スコア:2)
一方、12年前に生まれた IE5.01のセキュリティパッチは未だに作られているのだった
MS12-063 が最新ですね
日本語版だと IE5.01SP4-KB2744842-WINDOWS2000-X86-JPN.EXE がこっそりマイクロソフトのISOで配布されている。
マイクロソフトすごいなぁ ・ω・
Re:毎度毎度 (スコア:1)
IE5.01SP4-KB2744842-WINDOWS2000-X86-JPN.EXEって、↓ですよね?
Internet Explorer 5.01 Service Pack 4 用セキュリティ更新プログラム (KB938127) [microsoft.com]
発行日が古いような気がするんですが、ダウンロードすると実態が別にあったりするんでしょうか?
Re:毎度毎度 (スコア:2)
KB938127は3年くらい前のじゃないですかね。
今月マイクロソフトが出したセキュリティパッチ集のISOの中にKB2744842の
IE6SP1とIE5.01SP4の全言語版のパッチが含まれています
Re:毎度毎度 (スコア:1)
MS12-063 [microsoft.com]を見ても、IE5へのパッチが見当たらなかったので、どこで配布されてるのかな?と思ったんです。
で、ファイル名で検索したら、さっきのURLが出てきたので関連なのかな?と。
ISOというと、2012 年 10 月 セキュリティ リリース ISO イメージ [microsoft.com]、ですかね
Re:毎度毎度 (スコア:2)
それですね。
IEの累積パッチが入ってる回のISOイメージには全部同梱されているようです
Re: (スコア:0)
いいかげんやめればユーザーも新しいのに移る口実ができるってのに……
Re: (スコア:0)
Microsoftは多いけど、地道に潰してるね。
Appleは多いけど、放置するね。
マカーのsafari離れ (スコア:0)
safari6でゴシック体表示とRSSの購読が出来なくなった。
この改悪でマカーですら5.1に踏みとどまるか、別のブラウザに移った人は少なくないと思う。
CSSとかplug-in入れてsafari6を使う人が真の信者なのかも知れないけどね。
Re:マカーのsafari離れ (スコア:1)
Re: (スコア:0)
SafariのRSS購読ってサイトによってできたりできなかったりだったので、かつては使っていましたが固執するほどのものでもなかったような。
スタイルシートの導入にいたっては信者とか持ち出すほどのハックではなく普通のノウハウだと思います。
という事情を反映して、実際Safariのシェアはほとんど変化ありません。 [statcounter.com]
Re: (スコア:0)
それ、safariの5.xも含まれているのでは?
http://lhsp.s206.xrea.com/misc/browser-share-version.html [xrea.com]
だと6.0の人は少ない。
この人達が6.0に居続けているとも思えないけど。
Re: (スコア:0)
StatCounterの方はブラウザのバージョンごとのデータもありCSVがダウンロードできるので比較できます.
6.0が出た今年の7月から5.1は着実に減っていますから、これらのユーザーは6.0に移行しているか他のブラウザに移っていることになります.
そしてSafari全体のシェアは微増で減っていないことから,Safari6.0を見限ったようなユーザーは統計に表れない程度のマイノリティであることがわかります.10.6以前のユーザーは移行しようがないのでSafari5ユーザーは0にはならないでしょうが.
Appleは何でWin版QuickTimeとSafariを抱き合わせで配布してるんだ? (スコア:0)
マイナスにしかならないように思える
Re: (スコア:0)
動画再生やイメージの展開とかにQuickTimeのライブラリを使ってるとかじゃね?
Re: (スコア:0)
Win版Safariの開発を打ち切ったのはAV Foundationを移植したくなかったからではないかと
Re: (スコア:0)
×移植したくなかった
○移植できる技術がない
Re: (スコア:0)
iTunes では AV Foundation を使っていない、とおっしゃるので?
# ソンナバカナ
Re:遠隔操作ウィルスにより (スコア:2, すばらしい洞察)
他のOSでは同じ方法が使えないと思ってるなら死んだ方がいいよ。
バカすぎで生きてるだけで周りに迷惑だから。
Re:遠隔操作ウィルスにより (スコア:2, フレームのもと)
Visual Studioと.NET Frameworkが無い環境で同じことをやろうという時点で
それこそ「専門的で素人とは考えにくい」の典型だと思いますが。
Re: (スコア:0)
monoでは絶対に動かないの?
Re:Appleはネットに繋げなくてもハッキングされる。韓国のサムスン vs Apple (スコア:1)
事実関係に興味はないが、
どこの工作員?というような書き方だな
the.ACount