2005/08/09

thunderbird 1.0.6日本語版

thunderbird Ver.1.0.6日本語版がリリースされてますね。1.0.2のBugFix版だそうです。

このあたりからダウンロードできます。

| | コメント (0) | トラックバック (0)

2005/07/20

おおっと! Firefox 1.0.6

昨日の今日で、Ver.1.0.6がリリースされてますね。今回は、各国版も同時にリリースされているようで、日本語版がダウンロード出来ます。

Mozilla Japan

とは言え、英語版+JLPという御意見も頂きましたので、どうしようかと考えましたが、まぁ、とりあえず、バージョンを上げといてから考える事にしました。(安易かな?)

| | コメント (0) | トラックバック (0)

2005/07/19

Firefox、またアップデート

CNET Japanの記事より:

 オープンソースのFirefoxブラウザとThunderbird電子メールクライアントが再度アップデートされる。これは、サードパーティー製拡張機能の一部が意図せず停止する問題を解消するためのものだが、Firefoxは先週新しいバージョンが出されたばかりだった。

 今回のアップデートにより、FirefoxとThunderbirdは各々バージョン1.0.6となり、またMozilla Suiteはバージョン1.7.10にアップデートされると、Mozilla Foundationの関係者は同グループの開発者向けニュースブログのなかで述べている。

 Firefoxは先週バージョン1.0.5がリリースされたばかりだが、どうやらこのアップデートに含まれるセキュリティ関連の修正が問題を引き起こしたようだ。

これは、何が原因か特定されていないので何とも言えないが、

セキュリティ関連の修正があると、今まで解釈がグレーゾーンだった部分が、ある解釈で統一され、それに合わせたチェックが行われるので、今まで許されていた動作が禁止されてしまう事等もあるので、発生する可能性はあったようには思う。

 アップデートが間近に迫っているため、Mozilla Foundationは開発者に対し、同ソフトウェアを英語圏以外の市場に対応させるローカライズ作業を一時中断するよう呼びかけた。だが、この動きが一部から批判を買っている。

これは「セキュリティ機能に問題がある英語圏以外のユーザよりも、一部の拡張機能が動かなくて困っている英語圏のユーザの方が大事だ。」と言っているようにも聞こえないか。

そもそも、ver.1.0.5のローカライズ版を同時に出さない事が問題ではないのか?

「セキュリティに問題があっても英語圏以外は対応しないので、古いバージョン使ってくれ。」というのでは、さんざん批判してきたIEのセキュリティ対応(セキュリティ・ホールが発見されても迅速に修正されない)とどこが違うのかな? しかも、ある開発者が言っているように、

「en-US(米語版)1.0.5のリリースに合わせて、(1.0.4にある)深刻なセキュリティ関連のバグがすでに公表されているなかで、いまでも数千万人のユーザーが1.0.4を使っている」(開発者)

というのは、やはり問題だろうし、この状況を不安に思えば乗り換えを考える人も出てくるだろう(私もそうだ)。「英語版が使えるのだから、最新版が欲しかったら英語版を使え」というのは「最新版IEを使いたかったらWin XPを使え!」というのと同じ匂いを感じるのだが。


今後、Firefoxの事を尋ねられたら、こう言わないといけないかもしれない。

「英語版を使うならIEよりはアップデート迅速だから安全かもね。でも、日本語版を使うなら古いバージョンしかないから、IEと変わらないかもしれない。結局、どっちがマシかっていう話だから、Firefoxが、特に『お薦め』とは言えないね。」

願わくば、この言葉の後に、次の言葉が付け加わらない事を祈る。

「それに、Mozilla Foundationって英語圏以外は相手にしないから…。」

| | コメント (2) | トラックバック (2)

2005/07/09

zlibに脆弱性

CNET Japanの記事より:

 セキュリティ監視会社のSecuniaが米国時間7日に出した警告によると、オープンソースの「zlib」コンポーネントにバッファオーバーフローを引き起こす脆弱性が存在するという。この脆弱性には、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりするおそれがあると同社では説明している。

Linuxを使っている場合、圧縮の基板と言って良い存在で、あらゆる所で顔を出すライブラリなので、ちょっと深刻かもしれません。。特にSSHに影響が出る場合は、リモートのアクセスにかなり支障がでるかも。とは言え、バージョンを見る限り、まだセキュリティ問題のある、1.2.1を使っている(多分、パッチが当たってるんだろうが)ディストリもあり、既に、いくつかのパッケージは、インストールしようとするとAutoConfのバージョンチェックでハネられてしまいます(笑)。今回は最新版(1.2.2)でもダメみたいで、1.2.3待ちになるようです。

ちなみに、Fedora Coreはパッチが出てるようで、yum等でアップデートして下さい。

| | コメント (0) | トラックバック (0)

2005/06/28

Outlook Expressに脆弱性

CNET Japanの記事より:

 ハッキングサイトがMicrosoft「Outlook Express」の脆弱性をつくサンプルコードをばらまいたことで、先週より、同製品の脆弱性に関係する攻撃が発生する可能性が高まっている。

 French Security Incident Response Teamが米国時間20日に発した警告によると、この攻撃では、電子メールプログラムOutlook Expressの特定のバージョンを利用するユーザーが、ハッカーによって運営されるニュースグループを閲覧した際に、完全な支配権が奪われる可能性があるという。

(中略)

セキュリティ企業iDefenseのラボディレクターMichael Suttonは、ばらまかれた実証コードにはいくつか問題があると指摘した。

 「ユーザー自身が行わなければならない作業が相当あるため、全体的な危険性は低くなっている」(Sutton)

 念のためiDefenseでは、Microsoftが同脆弱性の修復のため先々週リリースしたパッチを適用するよう、脆弱なマシンを利用しているユーザーに勧めている。

(中略)

 Microsoftの発表では、脆弱性が発見されたのは、Windows2000/XPおよびWindows Server 2003向けのバージョン5.5/6.0を含む、Outlook Expressの複数のバージョンだという。なお、Outlook Expressプログラムを起動しない場合でも、同攻撃の被害に遭う可能性があるという。

Outlook Expressに限らず、攻撃コードというのは、よく出回りますので、アップデートは確実に行っておかないと危険です。

とりあえず、今回はリリースされたパッチを当てれば大丈夫そうです。また、基本的にはニュースを読み込まずメールだけで使っている分には問題無さそうです。

ただ、今回は起動しなくても危険との事なので、アップデートを行うか、アンインストールして完全に消し去るかという処置が必要かもしれません。

Outlook Expressは一時期、多くのセキュリティ問題に晒された為、(自社がウイルス・メールを発信してしまうと大損失ですので)多くの企業では使用を禁止していると思っていたのですが、最近はそうでもないのでしょうか? 個人的には、フリーの優秀なメーラがありますので、乗り換えをお薦めしますが、Outlook Expressを使わなければならない場合は、必ずアップデートした方がよいでしょう。

| | コメント (0) | トラックバック (0)

2005/06/08

Firefoxで脆弱性が再発

CNET Japanの記事より:

 7年前から知られている脆弱性が、最新のFirefoxブラウザにも存在していることが判明したと、Secuniaが警告を発した。この脆弱性を悪用すると、攻撃者は、第三者が運営するウェブサイト上に悪質なコンテンツを表示させることができてしまう。

[関連記事]
INTERNET Watch:「Firefox 1.0.4」「Mozilla 1.7.8」に“7年もの”の脆弱性が再発

最近、CNETのTBが増えてますが、Firefoxのセキュリティ関連の報告が多発しているので…(苦笑)

この脆弱性は、INTERNET WatchからリンクされているSecuniaのテストページで確かめる事が出来ます。要は、フレーム(FRAME)を使用しているサイトで、そのフレーム内に、別サイトのコンテンツを表示させてしまえるという問題です。これを悪用すると、本物そっくりの入力画面を表示させて個人情報を盗み出す事が可能になります。

これを避けるには、個人情報(パスワード、口座番号、クレジット番号等)の入力画面があるサイトを開いた場合、他のサイトは開かない(タブ、新しいブラウザ起動共)という方法を採らなければなりませんが(Secuniaは「信頼できるサイトとそうでないサイトを同時に訪問しない」よう勧告している)、複数のサイトを閲覧しながら、このようなサイトを開く事はよくあるので、気を付ける必要があります。

今回の脆弱性で深刻なのは、フィッシングが出来てしまうという事の他に、一度修正された問題が、再度発生した、いわゆる「先祖返り」が発生した点です。

ソフト開発をしていると、よくあることなのですが、過去の修正意図が伝わらずに不具合が復活するという典型的な例です。これは、新たに発見される不具合よりも深刻な問題で、品質保証そのものに対する大きな脅威になります。そのために、バグ・トラッキング・システム(この場合、Bugzzila?)等を使て修正意図を共有し、ソースにコメントして注意を喚起し、自らの修正が他の部分に影響が無いかを慎重に調査しなければなりません。また、テスト・チームは、今回のリリースでFixされた問題点のテストだけでなく、影響がありそうな過去の問題についても検証しなければならなくなります。バージョンアップで最も大変な作業が、実はこれなのです。

信頼性に大きく影響する問題なので、Firefoxにとっては、大きな打撃と言えるのではないでしょうか。

| | コメント (0) | トラックバック (0)

2005/06/04

Firefox 1.1

Firefox Ver.1.1のアルファ版が発表されました。コードネームは、Deer Parkです。

今回は、Alpha 1という事なので、あくまで開発者向けで実用には耐えません(アルファ版というのは、「こんな感じです」というプレリリース版なので、正しく動作するとは限らず、当然サポートもありません)。使いたい方はベータまで待ってください。ただ、Alpha 2は6月中に出荷予定のようですが、ベータは、今年中に出すとしか決まっていないようです。

Ver.1.1正式リリースは当初、今年の3月となっていましたが、最近のロードマップを見ると、「今年中」という予定になっています。その後、Ver.1.5を挟んで、Ver.2.0(Firefox 2)をリリースする予定のようですが、予定通りというのが難しいのが、世の習いといったところでしょうか。

| | コメント (0) | トラックバック (0)

IE7、Windows 2000ではサポートせず

Microsoftのある社員が公開したブログに、以下の内容が記載されていた。

CNET Japanの記事より(抜粋):

Microsoftが、Windows 2000オペレーティングシステム(OS)向けにはInternet Explorer(IE)の新しいバージョンを投入しないと認めたことから、同社の方針に対して一部で批判の声が上がっている。

(略)

「われわれがWindows 2000用IE 7のリリースを計画していないのは、別に驚くべきことではない。そうしない理由の1つは、Windows 2000がライフサイクルの終わりにさしかかっていることで、もう1つは、IE 7のセキュリティ機能の一部がXP SP2のOS機能に依存しており、それをWindows 2000に移植し直す作業が簡単には済まないからだ」

Win2K(Windows 2000)のサポートは2010年までとなっているが、WMP(Windows Media Player)とIE7はWinXP(Windows XP)用のみ供給され、Win2K版は出荷されない。

基本的に、Win2Kを使い続けるユーザは二種類に分かれるように思う。

一方は、何らかの理由でWinXPに不満を持っており、(場合によってはプレインストールされているWinXPから戻して)Win2Kを使い続けているユーザである。このタイプのユーザは、firefox、ネスケ、オペラ、mozillaといった高機能ブラウザに乗り換えているだろう事が容易に想像できるので、あまり実害を感じないだろう。

問題は、もう一方の、(経済的な理由等で)古いPCを使い続けているために、最初にインストールされていたWin2Kを使い続けるユーザである。おそらく企業で一括してPCを導入していたりする場合には、このパターンが多いのかもしれない。となれば、IE7の未サポートは、「PCを買い替えろと言われているようだ」と不満を抱く事が予想される。

IE7を使うにはWinXPが必要というのは、抱き合わせに近いやり方ではないだろうか? 独禁法との関連で、IEはOSの一部では無いとMicrosoftは主張してきたのではないか? 「IE 7のセキュリティ機能の一部がXP SP2のOS機能に依存しており」と言うのは、今までの主張に反しているような気もするのだが。

また、Win2Kの2010年までの「サポート」とは何を指しているのだろうか。Win2Kでは実現できない(そしてWinXPでは実現されている)セキュリティ機能というのは「サポート」されないのだろうか? それは、サポート期間中であるにもかかわらず、一部セキュリティ機能が不備のまま使い続ける事にならないだろうか? それって、「サポートしない」のと、どこが違うのだろうか?

Win2Kユーザの最も危惧するところは「IE7が使えない」という事では無いだろう。何故なら、IEを使わなくても、同等か、それ以上の機能を持つブラウザが存在しているからだ。いざとなれば乗り換えれば済む。(Outlookが、そうであったように)

最も危惧するのは、むしろ、Win2Kのアップデートが疎かになり、バグやセキュリティ上の不具合が修正されないまま放置される事だろう。2010年以降は、やむを得ないかもしれないが、少なくとも、それまでは「サポート」すると表明した以上、迅速な対応が望まれる。ましてや、セキュリティという問題に、密接に関連するブラウザに関して、このような動きをするメーカに不審を持つユーザも多いのではないだろうか。

個人的には、Win3.1→Win95→Win98→WinNT→Win2K→WinXPと使ってきたが、Winファミリーの中では、Win2Kの出来は良い方だと思う。逆にWinXPのアドバンテージを感じる事は殆んど無い。

| | コメント (0) | トラックバック (1)

2005/06/02

Thunderbirdの次期バージョン

CNET Japanの記事(抜粋):

 オープンソースの電子メールクライアントソフト「Thunderbird」が、次のアップデート(バージョン1.1)で、ポッドキャスティングに対応する。またフィッシング対策機能も強化される。

 ポッドキャスティングは、ユーザーが専用のソフトウェアを使ってネットから音声ファイルをダウンロードし、コンピュータやデジタル音楽プレイヤーで好きなときに再生したり、最新情報を定期的に受信することができるというもので、その名前はApple ComputerのiPodにちなんで付けられたとされている。

 ポッドキャスティングは、ブログのようなコンテンツを簡単に配信するための技術であるRSSの仕組みを利用している。Thunderbirdはすでに RSSフィードを受信できるようになっているが、これに新しいパッチ(プラグイン)を追加することでポッドキャスティングに対応する。そのため、ポットキャストのようなコンテンツが届いた場合にはダイアログボックスが開き、ユーザーはここからウェブブラウザやオーディオプレイヤーといったヘルパーアプリケーションを呼び出せるようになるという。

 フィッシング対策機能は、オンラインバンクのログイン情報やクレジットカード番号の入力を促す詐欺目的の電子メールの着信を検知し、ユーザーに警告するというもの。


メーラーもPodCasting対応が流れのようですね。

Blogと連動させると便利そうですが、とりあえずコンテンツが問題でしょうね。「ここで、一曲、○○さんで○○○○」と、CDから落とした曲を入れたりしたら、当然ながら著作権法違反になってしまいます。とは言え、Blog記事内容をトークするだけなら、書くのと変わらないので、「つまらん」となってしまうかもしれません。

私は、年寄でラジオ育ち(昔風に言えば「ながら族」)なので、よくラジオを聴きます。最近のFM局はトークが増えて(特に深夜!)、何かをしながら聴くには耳障りな場合も多いので、ネットラジオを聞く事が増えました。音楽が、ずっと流れているので、いい感じですが、日本は著作権関連法に問題があるためか、音楽を流すのは海外の局ばかりです。PodCastingが普及するかどうかも、このあたりの法整備が重要になるような気がします。

| | コメント (0) | トラックバック (0)

2005/05/29

御難続きのネスケ

Netscape Ver.8が出てから、御難続きみたいですね。

ネスケと言えば、Mosaicの正当伝承者(笑)で、一世を風靡したブラウザですが、最近は、どうも旗色が悪いようです。このネスケ8は、Firefox Ver.1.0.3を元にして作成されたらしいですが、結局、Firefox で指摘された脆弱性も引き継がれたようで、リリース直後にVer.8.0.1を出す羽目になったようです。なんでも、リリースするまでは、この脆弱性はネスケには無関係と考えていたらしいのですが、リリース直後に「やっぱ、ダメじゃん」という話になったようで、大慌てで修正版を出したらしい…。

で、今度は、ネスケがインストールされると、IEのXMLレンダリング機能が上手く作動しなくなるという問題が出たらしく、上手く動作させるにはネスケのアンインストールが必要との事です(ネスケが居ると、IEが使っているレジストリを書き換え続けるので、アンインストールが必要との事)。多分、また修正版を出す必要が出てくるかもしれません。

「バージョン末尾が二つ三つ上がらないと危ないよ。」と、よく言われますが、ネスケも、まだ安定するまでは時間がかかりそうです。

とりあえず、Linux上でFirefox使っているので、あまり関係が無いといえば、それまでなんですが(苦笑)

| | コメント (0) | トラックバック (0)