IBM developerWorks は Mozilla Firefox 1.5 の XML 機能に関する記事 を掲載した。プレーン XML と XHTML に加え、記事では SVG や Math ML、XML 用の ECMAScript(E4X)、XSLT、XForms そして 拡張可能なタグフレームワーク (XTF) などのXML ベースの技術の短い概要も提供している。この記事はシリーズの一回目で、今後の階では更に細かい内容になる事が期待できる。
我々このドキュメントに関する事を、IBM の Mozilla 従業員 Doron Rosenberg のウェブログから発見した。彼は Firefox XML の概要の全てが正確ではない と警告している。
[ 原文 / 2005年9月27日(火) ]
Gervase Markham は、未解決バグの自動解決 に向けての第一段階が完了した事をアナウンスした。Gerv は3ヶ月以上の間に開かれたバグのうち、12,342 にのぼる未確認バグが発行された警告 がなされたことを報告した。二週間後、これらのバグは、これらのバグに対してなんの行動も起きない場合にはクローズされる。
未確認バグの自動クローズは、もともと 2005 年の 5 月に計画されたが、Gecko の開発者からの反対や、最近の Gecko エンジンの公式リリースの不安定な供給のため延期された。いまだに、Gecko の開発者 Boris Zbarsky は 自動解決が予定されているモジュールのリストに layout が含まれていることに不満を表明している
更新: 古い未解決バグの自動更新は元々は 2005 年 4 月に計画されており、上記で述べた 5 月ではなかった。
[ 原文 / 2005年9月27日(火) ]
Lightning カレンダープロジェクトの最初のロードマップ が、 Dan Mosedale によって発行された。このドキュメントは、現在は歯抜けの部分が多いが、Mozilla Thunderbird のカレンダー化とスケジューラ化のアドオンのための基本的な計画を設定しており、Lightning 0.1 (今年の 11月を目標にしている)、Lightning 0.2、そして将来へのに向けての目標を特定しいる。
このロードマップでは、Lightning 0.1 はローカルなカレンダーと、WebDAV を通じてアクセスされた場合に、データが消えるバグがないことおよび”基本的な機能を dogfood(暫定的な内部テスト用のソフト) として利用出来る” ことが必要だと述べている。独立した Lightning 0.1 のために成すべき事のリスト も公開されており、ここにはナイトリービルドと最低でもひとつのリリース候補の予定があると書かれている。さらに将来を見ると、Lightning 0.2 は Thunderbird との親和性を高め(リンクが電子メールと IMAP サポートを行えるようにすることを含む)、CalDAV への改善された機能を提供する。さらに将来は、ローカライゼーションのサポートや、オフラインでの使用のためのカレンダーのキャッシュ、デバイスの同期などを予定している。
Thunderbird を企業ユーザにとってもっと魅力的にする努力として Lightning プロジェクトは昨年の遅くにアナウンスされた。将来の計画についての詳細は、Lightning の wiki ページ を見なさい。
[ 原文 / 2005年9月24日(土) ]
Mozilla Quality ウェブログは、Mozilla Thunderbird 1.0.7 のリリース候補ビルド をアナウンスした。Thunderbird 1.0.7 は、複数のバグを修正するためのマイナーアップデートで、バージョン 1.0.2 で発生した受信通知のバグの再発 (bug 289091) や、MozillaZine: Mozilla Linux のコマンドライン URL パース時のセキュリティ問題 (bug 307185).を修正している。
Mozilla Foundation のセキュリティアドバイザリ 2005-57 によると、Thunderbird は 最近の 国際化ドメイン (IDN) のリンクバッファオーバフロー の影響は受けないため、バージョン 1.0.7 ではこの問題を解決する必要はない。
[ 原文 / 2005年9月23日(金) ]
昨日、Doug Turner は Minimo 0.009 のリリース をアナウンスした。最新の、ハンドヘルドコンピュータと携帯電話用ブラウザの Windows CE 版は、Minimo 0.008 よりも 8.5% 小さくなり、ソーシャルブックマークをサポートし、初回の設定ダイアログと URL の外部プロトコル(電話発信などに使用される)のサポートを追加した。Minimo 0.009 はスモールスクリーン PKIダイアログ(セキュリティの警告やそれらに近いもので使用される)と、改善されたフォントレンダリングとユニコードのサポートだ。複数のその他のバグも修正されている。
Doug は Mozilla 製品を 重複していない10個の Windows CE 用の Minimo 0.009 に関するバグをファイルしてくれる先着の3名に与える。参加希望者はそれらのそれらのバグ番号を Doug にメールしなさい。
Minimo 0.009 は、9月21日にリリースされ、正確なデータセットは 先月に発行された Minimo のミニロードマップ で明確にされた。この次のリリース、Minimo 0.010 は、10 月 26 日に計画されており、将来のバージョンは 11月と 12月に予定されている。
Doug は最近、Minimo が何故いくつかの Windows CE のシステムで動作しないかを調査している。特に、Dell Axim X50v に関して調査している。この問題は、メモリの問題に起因しており、Minimo の実行サイズを小さくすることでアプリケーションを正常に動作させられる。しかし、実行サイズを小さくすることは、必要不可欠な機能を取り除くかないことには実現出来ず、将来の面倒な問題を生みだす。Minimo が動作したり動作しなかったりするデバイスについてのもっとよいアイディアを得るために、Doug は Windows CE Minimo デバイスの互換性の表 を作成し、もっと追加の貢献を歓迎している。
[ 原文 / 2005年9月22日(木) ]
2005 年 9月19日(月)に開催された mozilla.org スタッフミーティングの議事録 が公開された。話し合われた問題は、リリースと Mozilla Foundation に関してだ。
[ 原文 / 2005年9月22日(木) ]
washingtonpost.com のウェブログ Security Fix は、Mozilla のセキュリティバグを悪用したコードがリリースされた と報告された。PwnZilla 5 のコードは、国際化ドメイン (IDN) リンクのバッファオーバーフロー を利用しており、この問題についての詳細は今月発行された。このウェブログの投稿では、脆弱性を悪用したコードは “パッチの当たっていない Firefox インターネットブラウザで巡回ているコンピュータを攻撃者が完全にコントロール下に置くことが出来る” と述べている。過去の公式なこの脆弱性を利用したコードは、基本的なコンセプトの証明をするもので、単にブラウザをクラッシュさせるだけだった。
この脆弱性は、Berend-Jan “SkyLined” Wever によって制作され、脆弱性を持つ Mozilla Firefox、Mozilla Application Suite と Netscape ブラウザ のバージョンに対して有効である。過去2、3日の間に利用可能になった最新の Firefox 1.0.7 と Mozilla 1.7.12 では影響を受けず、ともに脆弱性への修正がなされている。この悪用コードがこのブラウザでも動作するかどうかは明らかではないが、、Netscape Browser 8 についての修正はなされていないが(現在のバージョンは 8.0.3.3)。
Security Fix ブログの著者、Brian Krebs は “このコードは、ウェブサイトに埋め込まれるように設計され、悪意のあるサイトをFirefox や Netscape で訪れた誰ものコンピュータ(※訳注 anyone computer 、引用元の原文ママ、と注記あり)を攻撃者の選択した別のインターネットアドレスに接続させ、効果的に悪者が被害者のコンピュータを遠くからコントロールさせる。” と述べている。彼は分析の情報源として French Security Incident Response Team (FrSIRT) を引用元としているが、FrSIRT の PwnZilla 5 のコードのコピー には、この情報は含まれていない。
悪意のあるコードの著者の SkyLined は、PwnZilla 5 のコードの制作で彼を助けた複数の人物の名前をクレジットしている。彼のコードの詳細で、彼は “Netscape はこの脆弱性への返答しなかったのだが、私はこのコードをリリースすることに決めた。” と述べている。しかし、彼はこの悪意のあるコードが Firefox(既に修正版が利用出来る) に特化されており、Netscape(まだ修正版が利用出来ない) についてはめったに動作しない、と述べることにより制限を与えた。
まだ 1.0.7 と 1.7.12 にアップデートしていない Firefox 1.0.x と Mozilla 1.x ユーザ はすべて、各々すぐにアップデートすることが通知されている。(詳細については、我々の Firefox 1.0.7 のリリース と Mozila 1.7.12 のリリースの記事を参照しなさい)。Firefox 1.5 Beta 1 はこの問題に関して脆弱であることを注意すべきで、そのため Firefox のエンドユーザ向けリリース(それは 1.0.7 だ)に復帰するか、より 最新の 1.8 ブランチから Firefox のナイトリービルド にアップデートすべきだ。SeaMonkey 1.0 Alpha はこの脆弱性には影響を受けない(しかし、Linux 版は Linux コマンドライン URL のパース時のセキュリティバグ の危険性を伴う)。
先週、CNET News.com はハッカーが IDN の脆弱性の悪用コードを動作させようとしていると警告した(日)。この脆弱性は、もともと Mozilla Foundation に Tom Ferris によって報告された。彼は、Firefox と Mozilla Suite の修正バージョンがリリースされる前に脆弱性を公開することを選択した。SecurityProNews のレポータ の John Stith に先週 は IDN の脆弱性について Tom Ferris にインタビューし、なぜ Ferris が脆弱性を公開するに至ったかという深い洞察を提供している。”彼 [Ferris] も彼が最初に全ての彼の情報を Mozilla に提出したときのことにもコメントしており、彼らとは不一致で、相手にされないような感じがしたという…Microsoft は常に ‘彼をもっと専門家のように扱った。’ ということだ。彼は Mozilla 界隈の人々は彼をもっと子供のように扱ったと述べた。
Security Fix のウェブログへの投稿のリンクについて、roseman に感謝する。
[ 原文 / 2005年9月22日(木) ]
セキュリティと安定性の更新版である、Mozilla 1.7.12 が公開され、ダウンロード出来るようになった。含まれている修正は、国際化ドメイン名(IDN)のリンクバッファオーバーフローの脆弱性 と、Linux のコマンドライン URL のパース時の不具合 だ。その他のセキュリティと安定性の変更もあり、特定のプロクシ自動設定スクリプトを使用した際のクラッシュも修正されている。それにくわえ、過去の 1.7.x nセキュリティアップデートで生じたバグの再発も解決されている。もし、Mozilla Firefox 1.0.7 の記事 でこれらの記述に聞き覚えがあるのなら、それはこれら二つのリリースで修正された内容のほとんどが同一であるからだ。
様々な Mozilla 1.7.12 のビルドは、Mozilla Application Suite の製品ページ、Mozilla 1.x のリリースページ、そして ftp.mozilla.org の mozilla1.7.12 のディレクトリ からダウンロードできる。Mozilla 1.7.12 Release Notes で利用できるこのバージョンについての詳細な情報には、what’s new のリストも含まれている。おおまかな Mozilla 1.7.12 changelog と、Mozilla Foundation の既知の脆弱性のリスト も数日の間に更新されることが期待される。
更新: 記事の脆弱性のページは更新され、3つの Firefox 1.0.7 に関連するセキュリティアドバイザリが発行された: MFSA 2005-57(日) では、IDN リンクバッファオーバーフローの問題に触れ、MSFA 2005-59(日)ではLinux コマンドライン URL のパース時の脆弱性について、そして MSFA 2005-58(日)ではこのリリースでのそのほかのセキュリティの修正について触れている。このニュースに関しては Juha-Matti Laurio に感謝する。
[ 原文 / 2005年9月22日(木) ]
Mozilla Firefox 1.0.7 は Mozilla ブラウザのフラグシップのセキュリティと安定性のアップデートであり、ダウンロード出来るようになった。国際化ドメイン名(IDN)のリンクバッファオーバーフローの脆弱性と、Linux コマンドライン URL のパージングに伴う脆弱性 が修正されている。この他にも、セキュリティと安定性の変更があり、特定のプロクシ自動設定スクリプトを使った場合のクラッシュ発生も修正されている。それに加えて、1.0.x のセキュリティアップデートで発生したバグの再発も解決されている。
Mozilla Foundation は過去に Firefox 1.0.6 に向けたパッチをリリースし、このパッチで IDN のサポートを取り除くことによりユーザを IDN のリンクバッファオーバーフローから守ったが、Firefox 1.0.7 はより永久的な解決方法をとっており、IDN の機能を無効にすることはなく、パッチをインストールしたユーザがアップグレードした際には、IDN のサポートが復帰していることがわかるだろう。
Firefox 1.0.7 は、Firefox の製品ページ か、ftp.mozilla.org の Firefox 1.0.7 のディレクトリ からダウンロードできる。Firefox 1.0.7 のリリースノート (日本語訳版) には、このアップグレードについての詳細が掲載されており、Mozilla Foundation の既知の脆弱性リスト(日本語訳版)も、じきに更新されることが期待される。
Mozilla Application Suite への 同等のアップデートである Mozilla 1.7.12 も、すぐに出ると期待されている。
更新: 記事の脆弱性のページは更新され、3つの Firefox 1.0.7 に関連するセキュリティアドバイザリが発行された: MFSA 2005-57(日) では、IDN リンクバッファオーバーフローの問題に触れ、MSFA 2005-59(日)ではLinux コマンドライン URL のパース時の脆弱性について、そして MSFA 2005-58(日)ではこのリリースでのそのほかのセキュリティの修正について触れている。このニュースに関しては Juha-Matti Laurio に感謝する。
[ 原文 / 2005年9月21日(水) ]
本日、Mozilla Firefox と Mozilla Application Suite に影響する、入力評価に関する致命的な セキュリティ脆弱性が報告された。この脆弱性は、アタッカーが任意のコマンドを被害者のシステム上で動作させることを可能にさせる。このバグは Firefox と Mozilla Application Suite が依存する、コマンドラインか外部プログラムによって提供される URL をパージングするための Linux のシェルスクリプトに存在する。もし提供された URL が backtick 記号で囲まれた Linux コマンドを含んでいると、Firefox か Mozilla Application Suite が URL を開こうとする前に実行される。$HOME のような変数も展開されてしまう。
この脆弱性は、めったに Firefox か Mozilla Firefox 自身の内部から悪用されることはないが、Firefox か Mozilla Application Suite がデフォルトブラウザになっている Linux システムで外部プログラム(例えば、電子メールクライアントやインスタントメッセージングアプリケーション)の中で悪意のあるリンクに被害者を陥れることにより、攻撃者はこの脆弱性を利用することが出来る。
例えば、Firefox を自分のデフォルトウェブブラウザにし、Mozilla Thunderbird を自身の電子メールクライアントに利用しているユーザを想定したとする。攻撃者は電子メールをこのユーザに、http://local`find`host のリンクを含んだ電子メールを送信する。もしユーザが Thunderbird でこのリンクをクリックしたとき、URL のパージングシェルスクリプトが呼び出され、Firefox が URL を開く前に find コマンドを実行する。ユーザ外部からのプログラムのリンク、特に電子メールやインスタントメッセージやチャットでのやりとりの疑わしいリンクを追跡しないことによりこの脆弱性を避けられる。
この脆弱性を避ける解決方法は開発されてきており、来たる Firefox 1.0.7 と Mozilla 1.7.12 に含まれる。Mozilla Quality のウェブログは これらの修正を伴った Firefox 1.0.7 リリース候補へのリンク と、テストの案内を掲載している。Firefox 1.0.7 と Mozilla 1.7.12 は既にその他のセキュリティの問題と安定性の問題を修正する計画になっている(特に、最近発行された IDN のリンクバッファオーバーフローの脆弱性を修正している)
この Linux URL のパージングの問題は Peter Zelezny によって報告され、彼は bug 307185 を今日ファイルした。Secunia は、この問題に “非常に危険” なバグとして評価し、Firefox Command Line URL Shell Command Injection というタイトルをつけたアドバイザリを掲載した。フランスのセキュリティ問題対策チーム – French Security Incident Response Team (FrSIRT) のこの問題に関するアドバイザリは、Mozilla Firefox のコマンドラインの URL パージングのコード実行問題 で、この問題も “致命的” と評価されており、四段階のうち最高の危険度となっている。Security Focus では、Mozilla ブラウザ/Firefox のコマンド任意実行の脆弱性 注意を促し、影響を受けるシステムの包括的なリストを掲載している。これらのアドバイザリのリンクに関しては、 roseman と Juha-Matti Laurio に感謝する。
更新:Peter Zelezny は bug 307185 を 9月6日(火)にファイルしており、上記に報告した 9月20日(木) ではなかった。この訂正をしてくれた Juha-Matti に感謝する。
[ 原文 / 2005年9月20日(火) ]
