Pwn2Own 2015 関連。 今年も そんな季節 。
2015/03/20 付けで Firefox ESR 31.5.2 、翌 2015/03/21 付けで ESR 31.5.3 が出ています。 ( 現地時間 )
"CVE-2015-0817" と "CVE-2015-0818" 。
CVE-2015-0818 は、ESR 31.5.2 で partial fix のままリリースされた模様です。
なお ESR 31.5.1 も一応出たようですが。 ( アーカイブ 、 アーカイブ2 )
公式には なかった 事になっている模様です。 ( アーカイブ )
通常版 36.0.2 (相当) との番号合わせなのかも、と想像してしまいます。
Pwn2Own 関係と云う事で Security Fix です。 ( 31.5.2 、 31.5.3 。 )
それぞれの修正分は通常版 36.0.3 、 36.0.4 に相当する模様です。
アドオンは、 ESR 31.5.0 で動作していたものがそのまま動くようです。
ウイルスバスター クラウド ( VB2015 / Ver.8.x ) の Osprey Extension / BEP Extension ほかも同様に動作しているように見えます。
※ 公式アナウンスは Firefox 23 まで です。
(図1)
Firefox ESR 31.5.2 のアップデート。
( 画像サイズ 45.91 KB )
(図2)
Firefox ESR 31.5.2 。
( 画像サイズ 33.74 KB )
(図3)
Firefox ESR 31.5.3 のアップデート。
( 画像サイズ 34.11 KB )
(図4)
Firefox ESR 31.5.3 。
( 画像サイズ 33.73 KB )
Mozilla Japan http://www.mozilla.jp/business/downloads/
> Firefox/Thunderbird 法人向け延長サポート版 (ESR) のダウンロード
Mozilla Foundation http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/
> Index of /pub/mozilla.org/firefox/releases
( 31.5.3 ESR の VirusTotal: update.mar 、検出率: 0 / 55 、 本体 、検出率: 0 / 57 。)
ディジタル署名の拇印は、"91 53 98 0c c1 86 df 47 8f 35 22 9e 11 c9 a7 31 04 49 a1 aa" 。
前回 と同じです。( 2016/09/21 まで有効 。)
セキュリティアドバイザリ:
Mozilla Japan http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html#firefox31.5.3
> Firefox セキュリティアドバイザリ
> Firefox 31.5.3 で修正済み
※ MFSA 2015-28 ( Firefox 31.5.2 ) 、 MFSA 2015-12 ( Firefox 31.5.3 )
Mozilla Foundation https://www.mozilla.org/ja/security/known-vulnerabilities/firefox-esr/#firefoxesr31.5.3
> Fixed in Firefox ESR 31.5.3
※ MFSA 2015-28 、 MFSA 2015-29 。 ( アーカイブ )
リリースノート:
Mozilla Foundation https://www.mozilla.org/en-US/firefox/31.5.2/releasenotes/
> Firefox Extended Support Release ― Notes (31.5.2) ― Mozilla
※ Security Fix のみ。
Mozilla Japan http://www.mozilla.jp/firefox/31.5.2/releasenotes/
> バージョン 31.5.2 延長サポート版 (ESR) ― 2015/03/20 リリース
※ 同上。
Mozilla Foundation https://www.mozilla.org/en-US/firefox/31.5.3/releasenotes/
> Firefox Extended Support Release ― Notes (31.5.3) ― Mozilla
※ Security Fix のみ。
Mozilla Japan http://www.mozilla.jp/firefox/31.5.3/releasenotes/
> バージョン 31.5.3 延長サポート版 (ESR) ― 2015/03/21 リリース
※ 同上。
ブログ:
Mozilla Japan http://www.mozilla.jp/blog/entry/10460/
> MWC 2015: 最新の Firefox OS デバイスの体験や、
> その先に Mozilla が目指すことをご覧いただけます | Mozilla Japan ブログ
※ 未記載。 ( アーカイブ )
Mozilla Foundation https://blog.mozilla.org/security/
> Mozilla Security Blog
※ 未記載。 ( アーカイブ )
(関連)
直リンク:
※ 日本語版差分 mar ファイル pgp 署名。
※ 日本語版差分 mar ファイル。
※ 日本語版差分 mar ファイル pgp 署名。
※ 日本語版差分 mar ファイル。
※ 日本語版完全 mar ファイル。
※ 日本語版フルインストーラー ( ミラーとオリジナル? ) 、サイズ 30.8 MB 。
http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/31.5.3esr/SHA512SUMS
※ SHA-512 ハッシュ。
http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/31.5.3esr/SHA512SUMS.asc
※ SHA-512 ハッシュの pgp 署名。
Mozilla Japan http://www.mozilla.jp/business/support/
> Firefox と Thunderbird の法人向けサポート | 法人向け情報 | Mozilla Japan
・・・
Mozilla Foundation https://www.mozilla.org/ja/plugincheck/
> プラグインのチェックと更新 ― Mozilla
・・・
インプレス 窓の杜 http://www.forest.impress.co.jp/docs/news/20150323_694084.html
> 「Firefox」が更新、ハッキングコンテスト“Pwn2Own 2015”で報告された脆弱性を修正 - 窓の杜
ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1503/20/news047.html
> FlashやIEのセキュリティ破りが次々と、ハッキングコンペ開催 - ITmedia エンタープライズ
※ "この日は合計でAdobe Readerに3件、Adobe Flashに3件、Windowsに3件、IEに2件、Firefoxに2件の脆弱性"
HP Enterprise Business Community http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-One-results/ba-p/6722204
> Pwn2Own 2015: Day One results - HP Enterprise Business Community
HP Enterprise Business Community http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-p/6722884
> Pwn2Own 2015: Day Two results - HP Enterprise Business Community
※ "5 bugs in the Windows" 、 "4 bugs in Internet Explorer 11"
※ "3 bugs in Mozilla Firefox"
※ "3 bugs in Adobe Reader" 、 "3 bugs in Adobe Flash"
※ "2 bugs in Apple Safari" 、 "1 bug in Google Chrome"
So-netブログ http://security-t.blog.so-net.ne.jp/2015-03-23-1
> モジラ、「Pwn2Own」報告の脆弱性を修正した「Firefox 36.0.4」公開:セキュリティ通信:So-netブログ
Secunia http://secunia.com/advisories/62437/
> Security Advisory SA62437 - Mozilla Firefox / Firefox ESR / SeaMonkey Two Vulnerabilities - Secunia
※ "CVE-2015-0817" と "CVE-2015-0818" 。
一般社団法人 JPCERT コーディネーションセンター さん、 SANS Internet Storm Center さんは未掲載。
・・・
HTTP ヘッダの確認サイト:
UGTOP http://www.ugtop.com/spill.shtml
> 確認くん(VIA the UGTOP)
taruo.net http://www.taruo.net/e/
> 診断くん
SSL 関係のテストサイト:
Qualys SSL Labs https://www.ssllabs.com/ssltest/viewMyClient.html
> Qualys SSL Labs - Projects / SSL Client Test
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20150225/1424830283
※ Firefox ESR 31.5.0
http://d.hatena.ne.jp/TsuSUZUKI/20150306/1425675014
※ Firefox 36.0.1
http://d.hatena.ne.jp/TsuSUZUKI/20150317/1426590023
http://d.hatena.ne.jp/TsuSUZUKI/20131022/1382439623
※ 「ウイルスバスター クラウド プログラムアップデートのお知らせ」、Firefox 23 まで。
http://d.hatena.ne.jp/TsuSUZUKI/20140418/1397854537
※ 「ウイルスバスター クラウド プログラムアップデートのお知らせ」、"Trend ツールバーの修正" 。
http://d.hatena.ne.jp/TsuSUZUKI/20140329/1396090846
※ Pwn2Own コンペティションで発覚した Adobe 製品の脆弱性 ( 未修正 )
いじょうです。
-
- -
