更新今年初め、Google Chrome の開発者アドボケートの Jake Archibald 氏が、Mozilla Firefox と Microsoft Edge に影響するバグを発見し、その問題を修正しようとして 2 つのまったく異なる経験をしました。
彼は今週、この騒動を振り返るブログ記事の中で、Mozillaは3時間以内に対応したと述べた。また、ブラウザメーカーはFirefox 59のベータ版リリース時にこの件を知ったため、その後すぐに、バージョン59の安定版リリースに間に合うようにこの問題に対処することができた。
一方、マイクロソフトは、アーチボルドに対しても自社に対しても、あまりコミュニケーションをとっていませんでした。
アーチボルド氏は、3月1日にEdgeのバグトラッカーを通じてこの問題を報告し、Microsoftが脆弱性報告用に提供している電子メールアドレス [email protected] にも通知したと述べた。
「その日のうちにマイクロソフトのセキュリティチームからメールが届き、Edgeのバグトラッカーにアクセスできないので、詳細をメールに貼り付けて送ってほしいと頼まれました」と彼は言った。「つまり、マイクロソフトのセキュリティチームはEdgeのセキュリティ問題を把握していないということです。」
彼は、以前に提出した脆弱性の詳細を電子メールで送信しました。
翌日、彼は、セキュリティバグを実証する概念実証ウェブページのソースコードがなければマイクロソフトは調査できないと告げられた。そのソースコードはブラウザの「ソースを表示」コマンドで明らかになっていたはずだ。
Microsoft Edgeブラウザを破壊したい?Googleがその方法を解説
続きを読む
それにもかかわらず、アーチボルドはソースコードのコピーを送りつけ、その後20日間沈黙が続いた。
Edgeチームの知り合いに連絡を取った後、ようやくMicrosoftから問題を修正する予定だという連絡を受けた。バグ発見に対する報奨金の対象となるため、報奨金を受け取る慈善団体を推薦できるかどうか問い合わせた。その後も2週間、連絡は途絶えた。
マイクロソフトは最終的に、バグ報告の文書にはそれが可能であると記載されていたにもかかわらず、賞金を慈善団体に寄付することはできないと彼に伝えた。
4月12日、彼はTwitterでEdgeチームの対応の遅さについて不満を表明しました。この批判は一部のMicrosoftエンジニアの注目を集め、同社の対応が最適とは言えなかったことを認める声も上がりました。
最終的に、Microsoft は 6 月 12 日に、ブラウザに個人データを強制的に送信させるために悪用される可能性のある Edge の脆弱性を修正しました。
アーチボルド氏は、このバグは重大だと主張している。「つまり、ユーザーがEdgeで私のサイトにアクセスし、私がユーザーのメールやFacebookのフィードを読むことができるということです。しかも、ユーザーに知られずに」と彼は述べた。
豊富なバグ
このバグ自体は、HTTP リクエスト ヘッダーが HTML 用に標準化されていなかったことから発生しましたRange。
「ヘッダーがどのような見た目で、いつ表示されるべきかはわかっているが、ブラウザが実際にどう処理すべきかは何もわかっていない」とアーチボルド氏は説明した。
音声や動画などのメディアデータの場合、範囲パラメータを指定することで特定のバイト範囲を返すことができ、例えば楽曲の特定の部分を聴く際に便利です。しかし、ブラウザが部分的なコンテンツをどのように処理すべきかについての詳細が不足しているため、少なくともFirefoxとEdgeでは、既知のデータと未知のデータが混在する可能性があります。Archibald氏はGitHubのIssues投稿で、いくつかの攻撃シナリオについて説明しました。
アーチボルド氏はThe Registerへのメールで、攻撃4をブロックするための手順を追加したfetchが、他のシナリオに対処するには彼自身か誰かがコードを作成する必要があると述べた。また、仕様変更が確実に適用されるよう、Chrome、Edge、Firefox、Safariの4つの主要ブラウザすべてにバグレポートを提出した。
「すべてのブラウザに対する修正は、レンジリクエストがサービスワーカーを通過できるケースもカバーしています。現在、どのブラウザもこれを許可していません」と彼は述べた。「EdgeとFirefoxのサービスワーカー以外のケースにも同じ修正が適用されます。」
マイクロソフトがバグ報告プロトコルをどのように改善できるかと尋ねられたアーチボルド氏は、コミュニケーションの改善を求めた。「重要なのは、報告者とブラウザエンジニアが常に連絡を取り合えるようにすることです」と彼は述べた。「ChromeとFirefoxはまさにそれを行っています」
The RegisterはMicrosoftにコメントを求めたが、回答は得られていない。®
追加更新
Microsoft は、今月の Patch Tuesday でこのホールを修正したことを確認した以下の声明を発表しました。
Microsoft は 2018 年 6 月にセキュリティ更新プログラムをリリースしており、Windows Update を有効にしているお客様、または最新のセキュリティ更新プログラムを適用したお客様は自動的に保護されます。
6月21日の最終更新
一方、Microsoft Edgeプロジェクトマネージャーのジェイコブ・ロッシ氏は、Twitterで次のように語っています。「開発プロセスにおいて、ジェイク氏とのコミュニケーションにおいて、より迅速な対応ができた点がいくつかありました。この点は彼にも伝え、改善に取り組んでいます。しかし、このコミュニケーションギャップの大部分は、彼が無責任にバグを公開しようとしたことによるものです。」
ロッシ氏が「無責任」と表現したのとは、アーチボルド氏が苛立ちから、パッチが完成する前に欠陥の詳細を公表するよう示唆したことを指している。「実際に返答を得る手段があるかどうか確かめるための、空虚な脅しだった」とアーチボルド氏は説明した。つまり、17日間の沈黙の後、マイクロソフトに返答を迫ろうとしていたのだ。
ロッシ氏はさらに、「私たちはこのバグを深刻に受け止め、業界標準の90日以内にパッチを当てました。当社のセキュリティチームがこのバグにアクセスできなかったことは一度もありません」と付け加えた。
