Firefox のベトナム語言語パックが改ざんされる

原文:Firefox Vietnamese language pack compromised by Percy Cabello -- May 8th, 2008

Mozilla Security blog への投稿の中で、Mozilla セキュリティ責任者 Window Snyder は2008年2月18日以降にダウンロードされたベトナム語言語パックが改ざんされていたというセキュリティ問題を明らかにしました。

明らかに、言語パック作者のコンピュータは HTML.Xorer ウィルスに汚染されていました。このウィルスは Firefox のローカライズされたヘルプファイルに望まない広告を表示する悪意あるスクリプトを挿入します。現時点では危険はありませんが、広告がユーザのコンピュータを汚染するマルウェアに置き換えられる可能性があります。

Mozilla のセキュリティポリシーにより、アップロードされたすべてのファイルは定期的にウィルススキャンされますが、感染した言語パックが公開された時点ではHTML.Xorer はまだアンチウィルスデータベースに登録されていませんでした。この問題に対応するためにデータベースの更新時にフルスキャンを行うことが検討されています。

ヘルプファイルにはウィルス自体は含まれておらず、ユーザのコンピュータやネットワーク機器に感染することがないことに注意してください。また Mozilla はリポジトリのフルスキャンの結果、感染はベトナム語言語パック以外には無かったことを確認しました。

ベトナム語言語パックユーザは数日内にリリースが予定されているクリーンなバージョンがリリースされるまで、Firefox のアドオンマネージャからこの言語パックを無効にしてください。

Secunia 2007レポートに見るウェブブラウザのセキュリティ

原文:Secunia 2007 report on web browsers security by Percy Cabello -- January 17, 2008

ソフトウェアセキュリティ調査会社 Secunia が先日、過去1年間のソフトウェアセキュリティの状況をまとめた2007年版の報告書を発行しました。しかしながら、報告書はセキュリティ会社の常であり要領を得ません。

ウェブブラウザセクションで報告されている統計によると、Firefox は最も多い64個の脆弱性が報告されており、次が Internet Explorer の43個、Opera と Safari がそれぞれ14個です。

より詳細に見ると、Secunia はまた、Firefox は公開済みの8件のセキュリティバグに対して3件が未修正であるのに対して、Internet Explorer は公開済みの10件の脆弱性に対して7件が未修正であると述べています。危険にさらされた期間で見ると、公開された IE の脆弱性は平均で173日間未修正であったのに対して、Firefox では88日であり、決して誇れるものではありませんが、かなり優位に立っています。

さらに、特定の脆弱性が攻撃者に利用された場合、重要度もしくはユーザにとってどれだけ影響があるかという尺度があります。現状の攻撃リスクを数値化するために、私は Secunia が報告書で使用しているう各セキュリティレベル（none, less, moderately, highly critical）に対して1,2,4,16という「セキュリティポイント」を割り振ってみました。そしてそれをバグが未修正であった日数に掛けて、2007年を通じて各ブラウザがどれだけ危険にさらされていたかを見積もりました。

この試行では、Firefox は876リスクポイントで、Internet Explorer の2,684よりはるかに小さいものでした。これはブラウザのリスクを表す正確な尺度でしょうか? たぶんそうではないでしょう。というのも私は Highly critical バグを moderately critical の4倍高いリスクとしましたが、これはもちろん適当な値です。Secunia のようにリスク情報により近い立場にいるセキュリティ会社がこれを定量化し、標準的なソフトウェア指標を設定することにより業界をリードしていくことを望んでいます。

ブラウザのプラグインに関する脆弱性では、ActiveX（Internet Explorer のみ）が339個と飛びぬけており、次が QuickTime の35個、Java が21個、Flash が12個、拡張機能（Firefox のみ）が6個、Widget（これは Opera のみと思われます）が3個です。

報告書によると、ActiveX への攻撃数は、1ヶ月に渡って毎日 ActiveX のセキュリティ問題を報告したブログ ActiveX バグ月間 の影響で急上昇しました。

詳細は Secunia 2007 Report の本文を参照してください。

Mozilla のセキュリティパッチは可能な限りくそっ早くリリースする

原文:Mozilla security patches coming as soon as f***ing possible by Percy Cabello -- August 7, 2007

それは先週の Black Hat セキュリティ会議で、Mozilla エコシステム開発ディレクタ Mike Shaver が Robert Hansen (a.k.a. RSnake) に“くそったれの10日 (Ten F***ing Days)”と書き加えた名刺を渡したときから始まりました。

10日というのは Firefox 2.0.0.6 で Mozilla がセキュリティ脆弱性に対するパッチを作成しリリースするのに要した時間を示しています。それは疑いもなく、重要なセキュリティ上の成果です。

しかしながら、話題が複数のメディアと dig のトップページに流出後、それが何を意味するかについて異なる解釈があります。

これは Hansen の解釈です: 「彼らはどんなクリティカルなパッチでも10日以内にリリースできると言った。Not one to let challenges go untested I called BS. その瞬間、Mike Shaver は挑戦状をたたきつけた。彼は私に手書きのメモを記した名刺を渡した。挑戦内容はこうだ - 責任のある情報開示の下で、Mozilla はどんなセキュリティホールでも“Ten [F***ing] Days”以内にパッチを作成し公開できる」　すばらしい!

そしてこれは Mike の解釈です: 「私は、とくに早急に対応すべきと判断される大きなリスクをもった情報に対して、そのような"1回限りの"チケットを彼に渡すことによって、必要とあらばすばやく修正するわれわれの能力に対する自信について述べようとしたのだ。 それは、後になって冷静に考えるとあまりに過激であったが、Mozilla の方針がすべての公開された脆弱性に対して10日以内に対応することであることを示すものではない。」

私は先週 Hansen の投稿を読んだときは特に気に留めてはいませんでした。どんなソフトウェアでもセキュリティパッチの対応時間を保証することは誰にもできないことは明らかです。これが Black Hat での説明や会議の中で行われたのではなく、Mozilla のパジャマパーティ（pajama party）で起こったということは、いうまでもなく非公式なこととして扱うべきです。

しかし、人々がこれは Mozilla の挑戦、Mozilla の方針あるいはただの冗談などと憶測しているので、Mozilla Chief Security Office である Window Snyder はこれに関して公式声明 を発表しました: 「これは我々の方針ではない。セキュリティはゲームではないし、挑戦状や最後通告を発行するようなものもない。しかし我々は重大なセキュリティパッチをすばやくリリースしてきた実績を誇りに思っている。我々は人々を安全に保つために、可能な限り早くリリースするよう懸命に働いている。」

それだけのことです。パーティは終わりました。とくに注目すべきことはありません。しかし、Mozilla のセキュリティを語るときのいろんな側面を学びました。結局は、セキュリティパッチは“毎月のくそったれの火曜日（訳注：Microsoft の月例パッチのこと）”ではなく “可能な限りくそっ早く”のほうがが好きです。

訳注：拡張あれこれ-MEMOにも関連記事があります。