(はじめに注:以下は、2006/10/20 20:57時点のCnetJapanのある記事の内容と、その記事内容についての記述です。2006/10/21 03:10時点では、タイトル、内容とも変更されてます)
CnetJapanですごいニュースを発見しました。
オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
先月にOpera9.02が出たばかりだというのに、Opera9.02がリリースされたそうです。
……あれ?
いえ、別に、ここ数日中にリリースされたとはどこにも書いてないから、多分「Opera9.02がリリースされた」というのは合ってるんですけど……。世間的に「ニュース」と言わないような気がしたり、タイトルのミスリード感は強烈な気がしなくもないのです。
オープンソース!……ってこれは大ウソなんじゃないでしょうか……。少なくとも9.01、というか2006/09/22リリースの9.02まではクローズドソースで無料配布されてたような気がします。新9.02がオープンソースというのが本当だとすると、脆弱性云々よりオープンソースであることの方が大ニュースな気がします。
Opera 9に存在していた脆弱性……は、まぁ、拡大解釈すれば9.00及び9.01とか、WeeklyBuildとかを総称するいい言葉がないから過去形で書くことで9.02より前と解釈できないこともない……でしょうか?
で、脆弱性の話なのですが、これは実は初耳でした。9.00時点では、「長いURLでクラッシュするというバグ」が知られていたのですが、記事からリンクされてるページの説明を見る限り、「クラッシュも含めて、任意のコードが実行できる」とされているようです。
これは、別物の、本物の、新しい脆弱性と考えた方がよさそうです。
大変そうなので検証はしませんが、先日のはOpera社で「It is just a crash. No way to exploit this」と認識されてたので、本当だとすると、深刻度は256倍どころじゃなくアップです。ほんとにDoSにも使える脆弱性です。
記事中前半にある、「ユーザーのシステムがクラッシュしてしまうというもの」という記述は、正しいのかも知れませんが、先日の「Operaがクラッシュする」という話と混同しそうで、結構危険です。
どうも、このニュース、「既に9.02では修正されているけど、Operaの9.01以前に存在した『重大な脆弱性』が『最近』発見された」というセキュリティ関係のレポートを見て、いくつかの勘違いの上で書かれた「実は重要な情報を含んでるけど、ヘンなとこを強調したり根本的に間違った情報を加えたりで結果的にカモフラージュしてる」という、なんともややこしい記事だったようです。
とりあえず、Opera9.00及び9.01を使ってる人は先月既にリリースされてるOpera9.02にアップデートしましょう。それでこの件については万事おっけーです。
Cnet: オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
ZDnet: オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
Cnet news.com: Opera releases security update。元記事。コメントで、「先月へようこそ!」とか突っ込まれます。
追記(2006/10/21 03:10):
さすがに訂正されたようです。タイトルが「Opera 9.0および9.01に脆弱性--9.02へのアップデートを」と、この上なく適切に(欲を言えば9.00)変更されてます。
……でも、現時点で英語の元記事は元のままおいてきぼり(上記引用の原文「
訂正された日本語記事は、Opera社のAdvisaryへのリンクが張られてるところが新しい(?)です。「このAdvisaryがニュースソースだったらしい」とかわかって、ひと安心でナイスな感じです。
Diska
CnetJapanですごいニュースを発見しました。
オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
Opera Softwareは、同社オープンソースブラウザ「Opera」のバージョン9.02をリリースし、同製品のセキュリティアップデートを行った。新バージョンでは、Opera 9に存在していた脆弱性が修正されている。
先月にOpera9.02が出たばかりだというのに、Opera9.02がリリースされたそうです。
……あれ?
いえ、別に、ここ数日中にリリースされたとはどこにも書いてないから、多分「Opera9.02がリリースされた」というのは合ってるんですけど……。世間的に「ニュース」と言わないような気がしたり、タイトルのミスリード感は強烈な気がしなくもないのです。
オープンソース!……ってこれは大ウソなんじゃないでしょうか……。少なくとも9.01、というか2006/09/22リリースの9.02まではクローズドソースで無料配布されてたような気がします。新9.02がオープンソースというのが本当だとすると、脆弱性云々よりオープンソースであることの方が大ニュースな気がします。
Opera 9に存在していた脆弱性……は、まぁ、拡大解釈すれば9.00及び9.01とか、WeeklyBuildとかを総称するいい言葉がないから過去形で書くことで9.02より前と解釈できないこともない……でしょうか?
で、脆弱性の話なのですが、これは実は初耳でした。9.00時点では、「長いURLでクラッシュするというバグ」が知られていたのですが、記事からリンクされてるページの説明を見る限り、「クラッシュも含めて、任意のコードが実行できる」とされているようです。
これは、別物の、本物の、新しい脆弱性と考えた方がよさそうです。
大変そうなので検証はしませんが、先日のはOpera社で「It is just a crash. No way to exploit this」と認識されてたので、本当だとすると、深刻度は256倍どころじゃなくアップです。ほんとにDoSにも使える脆弱性です。
記事中前半にある、「ユーザーのシステムがクラッシュしてしまうというもの」という記述は、正しいのかも知れませんが、先日の「Operaがクラッシュする」という話と混同しそうで、結構危険です。
どうも、このニュース、「既に9.02では修正されているけど、Operaの9.01以前に存在した『重大な脆弱性』が『最近』発見された」というセキュリティ関係のレポートを見て、いくつかの勘違いの上で書かれた「実は重要な情報を含んでるけど、ヘンなとこを強調したり根本的に間違った情報を加えたりで結果的にカモフラージュしてる」という、なんともややこしい記事だったようです。
とりあえず、Opera9.00及び9.01を使ってる人は先月既にリリースされてるOpera9.02にアップデートしましょう。それでこの件については万事おっけーです。
Cnet: オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
ZDnet: オペラ、「Opera 9.02」をリリース--セキュリティ脆弱性を修正
Cnet news.com: Opera releases security update。元記事。コメントで、「先月へようこそ!」とか突っ込まれます。
追記(2006/10/21 03:10):
さすがに訂正されたようです。タイトルが「Opera 9.0および9.01に脆弱性--9.02へのアップデートを」と、この上なく適切に(欲を言えば9.00)変更されてます。
……でも、現時点で英語の元記事は元のままおいてきぼり(上記引用の原文「
Opera Software has released a security update, 9.02, of its open-source browser.」がそのまま)になってるのがちょっとどきどき。ニュースの翻訳って責任とか権限とかいろいろ大変そうです。オフィスアワーとかも違うでしょうし。
訂正された日本語記事は、Opera社のAdvisaryへのリンクが張られてるところが新しい(?)です。「このAdvisaryがニュースソースだったらしい」とかわかって、ひと安心でナイスな感じです。
Diska
※コメント投稿者のブログIDはブログ作成者のみに通知されます