MozillaZine.jp

Mozilla 関連情報の提供、啓蒙活動を行っているオンラインマガジン「MozillaZine」の日本語訳を提供しています。
リリース版 |    Firefox 103.0.1 ESR 91.12.0 / 102.1.0 Android 103.2.0 Focus 103.2.0 iOS 103.0 | Thunderbird 91.12.0 / 102.1.1 | SeaMonkey 2.53.13 |
プレビュー版 | Firefox Nightly Developer Edition Beta Android Nightly Beta | Thunderbird Nightly Beta | SeaMonkey Beta |
相互サポート | Firefox | Thunderbird | SeaMonkey | Lightning | Android | Firefox OS | iOS

Greasemonkey に重大なセキュリティ脆弱性が発見される


深刻なセキュリティ脆弱性が、Mozilla Firefox の人気拡張機能である Greasemonkey に発見された。この脆弱性は、ウェブサイトがユーザのコンピュータのどんなファイルにもアクセスする可能性を許容するものだ。昨年最初のバージョンがリリースされ、ユーザにコードの断片をインストール可能し(ユーザスクリプトとして知られている)それを使ってウェブサイトにさまざまな方法でアクセスが可能になる。もし、脆弱性のある Greasemonkey のバージョンを起動しながらユーザがウェブサイトにアクセスしたとき、そのウェブサイトが少なくともひとつのユーザスクリプトをトリガさせると、そのウェブサイトはどんなユーザファイルやユーザのディレクトリやフォルダのようなコンテンツのリストも得ることができる。この問題は次の2つの方法で解決できる。まずは脆弱性が修正されているが機能が縮小化されている Greasemonkey 0.3.5 をインストールするか、Greasemonkey を完全にアンインストールしてしまうことだ。すべての機能を搭載した、セキュリティを修正した Greasemonkey のバージョンは、現在開発中だ。

Tomas Marek は公式な GreaseMonkey の blogGreasemonkey のセキュリティ脆弱性を持っていることを述べる投稿 を掲載していることを教えてくれた。この問題は、今年前半に Greasemonkey に関するオンラインブック を書いた Mark Pilgrim によって発見された。

Mark の セキュリティ脆弱性に関する Greasemonkey メーリングリストへのメッセージ は、もしユーザスクリプトがすべてのページで動作するように設定していた場合(Greasemonkey のいくつかのバージョンはそのようなデフォルトのスクリプトで出荷されていた)、アクセスしたサイトのコンテンツ全体を取得する。しかし、そこには既知の脆弱性はこれまで存在しなかった。

Miguel はこう知らせた。ShiwejGreasemonkey の脆弱性のまとめ を掲載し、Mark と何人かの開発者のコメントを掲載している。メインストリームのニュースサイト、eWeekGreasemonkey のセキュリティホールを報告している。このリンクについては roseman に感謝する。

一方、BetaNews は広範な視点で、Firefox の拡張システム自身がセキュリティの弱点を持っているかどうかを問いかけている。”攻撃者はシステムに侵入するために IE の Active X プラグインを長い間利用してきた” と記事は述べ、”Firefox の拡張機能でも同じことができると述べる人がいる。”という。Betanews は Slashdot の投稿を引用している。それは Greasemonkey のセキュリティ脆弱性の記事 という記事だ。

これまでは ― 同様の懸念がなされていた。事実として、Mozilla Foundation は、ユーザによって望んでインストールされた拡張機能は安全であると主張してこなかったし、知識のある人々には拡張機能はユーザのシステムで走ってしまうとどんなことでも出来てしまうことは知られていた。しかし、拡張機能が無条件に安全だと信じている人がいるのならそれは心配なことだ。

CNET News.com事実上不正確な Greasemonkey に関する記事を掲載している(日本語訳版)。この記事は人気の拡張機能の背後に Mozilla Foundation がいるかのような誤った言及を行っている。現実は、Greasemonkey はボランティアのグループによって開発され、独立した mozdev のサイト上にホスティングされている。しかし、 Mozilla Foundation はアドオンのための Greasemonkey on Mozilla Update を内包している。eWeek の記事を引用すると、Mark は Mozilla Update は Greasemonkey を外して、代わりに大きな警告に置き換えるべきだ と話し合ったという。Mozilla Update に掲載された拡張機能がセキュリティに関して懸念を表明されたのは、これが最初ではない。

TechWebGreasemonkey のセキュリティバグに関する記事を掲載しており、これは “Greasemonkey の脆弱性は Firefox の問題でない” ということを正確に認識しているが、”この数日人気ブラウザの3番目の不面目だ” としている。これは Spread Firefox のクラッキングFirefox 1.0.5 の壊れた拡張機能 を指してのものだ。

訪問したウェブページを変更するという特異な目的を持つために、Greasemonkey は長い論争の火種となってきた。ユーザに与えられた前例のないコントロールと、そのオンラインマーケットに与えうる影響への懸念を伴ってのものだ。セキュリティの問題はこれまでにも浮上したが、これらの心配は悪意のあるユーザスクリプトが開発されるのではないかというものであり、Greasemonkey 自身がユーザを危険にさらすのでは、というものではなかった。

[ 原文 / 2005年7月20日(水)]

コメント 3 件 - “Greasemonkey に重大なセキュリティ脆弱性が発見される”

  1. Blog Bookmarks. :

    Grasemonkey に重大なセキュリティ脆弱性が発見される

    Firefox,Thunderbird 1.0.5、コーディングミスで仕切直しの背景にはいろいろなことが存在するようです。mozillaZine 日本語版 ? Blog Archive ? Grasemonkey に重大なセキュリティ脆弱性が発見される深刻なセキュリティ脆弱性が、Mozilla Firefox の人気拡張機能である Gr…

  2. ぼてじゃこ :

    Firefox 1.0.5 でのトラブルなどもあって、「本当に今月中にリリースされるのかなぁ」と
    思ってはいましたが、やはり無理だったのですね。

    瑣末な事で申し訳ないのですが、 Grasemonkey ではなくて Greasemonkey のはずですが・・・・
    Mozilla Japanのトップページのリンクのタイトルにも堂々と Grasemonkey ってなってしまってます。
    固有の名称はくれぐれもよく確認してほしいです。

  3. OSSコミュニティの「日本病」 :

    OSSコミュニティの「日本病」
    ・本家原理主義。日本のユーザーコミュニティはあくまで亜流
    ・亜流故に妙に独自主義
    ・コミュニティが分断されている
    ・開発コミュニティとユーザーコミュニティが悪い意味で分断されている。
     コミュニティとはあまり関係なく、個人が本家にフィードバックするだけ。
     悪くすればローカライズに特化した組織になるか、ユーザー間の交流会止まり。
     集団化すりゃいい、という問題でもないがコミュニティでしかできないことを
     日本のOSSコミュニティが提供できているか、というとそういうわけでもない。
    ・日本なんとか会(法人組織)の排他性。中間法人格などを取得していても、
     組織の運営実態がイマイチ把握できない。ディスクロジャーの欠如、
     法人協賛会員への過度の財政的依存、役員選定基準の不明確さなど
     一見して誰のための何の組織なのか理解不能。
     しかも、コミュニティとの繋がりが希薄なので、情報を求めにきたビジターは肩透かしを食らう。
     一方で恒常的な財政問題を抱えている
    ・開発者やユーザーは、似たようなコミュニティの間を渡り歩くか、
     現実的な成果を上げるにはコミュニティとは無関係に活動せざるを得ない
    ・日本のOSSコミュニティにおけるアクターはコミュニティではなく、キーパーソン的な個人

コメントを投稿

XHTML: これらのタグが使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>