Windows 8.1 Previewが最近公開されたようです。早速試験環境に入れて、Tungsten 1.12の動作を軽く確認してみました。
概ね問題なさそうです。TridentはIE11として動いているようです。しかし、 ユーザーエージェントが変だったり、IEコンポーネントのバグがIE11でも直っていなかったり、etc.。
Windows 8.1 Previewが最近公開されたようです。早速試験環境に入れて、Tungsten 1.12の動作を軽く確認してみました。
概ね問題なさそうです。TridentはIE11として動いているようです。しかし、 ユーザーエージェントが変だったり、IEコンポーネントのバグがIE11でも直っていなかったり、etc.。
ニュースサイトから知ったことですが、Tungstenにも少なからず影響を受けることなので、あえて記事を書きます。
JVNが発表した内容によると、 IE6~9にXMLファイルの処理に問題があり、ローカルファイルが漏れる可能性があるようです。
驚いたのは、次の一文。
なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。
Windows 2000が延長サポートフェーズだった際、OSの設計の問題でTCP/IPの脆弱性を放置した実例もありますが、今回も同様なのでしょうか?
これまでIE6にも頑なにセキュリティパッチを出してきたMSらしからぬ対応で、どうしたものかと思います。
近日MSのセキュリティアドバイザリにも公開されるでしょう。
JVNの発表だけでは、「IE6~IE9はセキュリティホールを放置するので、IE10に(Windows 7以上にさっさと)乗り換えて」
と言っているようにしか聞こえず、MS基準の深刻度はわかりません。
JVNの分析結果は深刻だと言っているのですが・・・
ただ、IE10に乗り換えるにあたっていくつも問題が存在します。たとえば、
・・・などなど。様々な理由で、簡単に乗り換えられるものではないでしょう。 このセキュリティ問題が深刻なほど、根深い問題となります。
なお、この問題は、ローカルファイルにあるXMLファイルを開いたときに影響を受けるとのことで、
XMLの関連付けを図のようにIEや"XML Editor"以外に変更するとダブルクリックによる実行は回避できそうです。
# これがインターネット上にあるXMLファイルでも起こるのなら、かなり深刻なことになると思いますが、どうなんでしょう?
この件に関して、MSが反論しています(リンク先はInternet Watch)。
MSの見解では、攻撃者は以下の条件が揃わない限り、攻撃が成立することはないとのこと。
ローカルファイルに怪しいXMLファイルを保存しないことが回避策です。
※とはいえ、ダウンロードフォルダーの場所をデフォルトのままにしている人も少なくないはずで、
細工したXMLの作り方さえわかれば実は攻撃可能では・・・?
要するに、公開されている情報がJVNにしか載っておらず、情報が足りないせいでユーザーが混乱した・・・ (しかも、深刻度が高めに見えて「修正予定はない」と言ったせいで余計な誤解が生まれた) というところでしょうか。
TungstenがVersion 1.12にバージョンアップしました。
上図のとおり、WebKitエンジン(Chromium)を27.0.1453.110にバージョンアップしました。
ほか、軽微なバグ修正を行いました。
27.0.1453.110は、前バージョンのセキュリティ問題が修正されています。
本家Chromiumのセキュリティホールは、Tungstenに同梱されているChromiumにも存在します。
可能な限り早くアップデートをお願いいたします。
すでにTungstenをお使いの方は、デフォルトでTungstenの起動時に通知されるようになっています。
その指示に従ってダウンロード・インストールを行ってください。
ダウンロードページからダウンロード・インストールでもOKです。
2013/06/11 修正
Vectorからも、Version 1.12がダウンロードできます。
Chromiumをビルドする際のオプション、少しだけビルド時間を短縮する方法、できあがったChromiumを速くする方法を書いていきます。
2015/03/07 一部更新
2015/01/28 追記: ビルド方法が大幅に変わったので、新たに記事を書きました。
今回は、WindowsでChromiumをninjaというビルドシステムでビルドする方法を、メモ程度に書きます。
2014/05/27 追記
Chromium 35以上では、toolchain + ninjaによるビルドがデフォルトとなりました。
"gclient runhooks"コマンドでビルドに必要なtoolchainが自動的にダウンロードされるようになっています。
ほか、/ShowIncludes消去がいらなくなった、など手順が一部異なります。
以下、参考のためそのまま残しておきます。