Firefox脆弱性報告から修正版リリースまでの48時間の流れ

ニュース
トップ

【レポート】

Firefox脆弱性報告から修正版リリースまでの48時間の流れ

後藤大地  [2010/11/01]

Firefox web browser - Faster, more secure & customizable

25日にFirefox 3.6および3.5に任意のコードを実行される脆弱性があることが発覚。Mozillaがその問題に気がついてから、48時間以内に対応が実施され、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15が公開された。問題が発覚してから48時間以内にアップデート準備まで終わらせるという迅速な対応となる。

どういった手順を踏んで対処が実施されたのかがLegNeato! - Two F-ing days for Firefox 3.6.12 and 3.5.15!で紹介されている。実際にどういったやりとりがあったのかが要点をおさえてまとめられており参考になる。紹介されている内容は次のとおり。

  1. おそらく日曜日(24日)に新しいトロイが仕込まれている。
  2. Telenor SOC社が顧客のネットワークに対する不正侵入を調査していると、Windows XPで動作する特定のバージョンのFirefox 3.6にヒープバッファオーバーフローの脆弱性があることを発見。Mozillaへ報告。Mozillaに報告がやってきたのは太平洋夏時間で月曜(25日)の21時過ぎ。
  3. 月曜の夜中にわたって多くのエンジニアがこの問題の調査を実施。
  4. 月曜の夜、MozillaはGoogleに対して同脆弱性を利用してマルウェアを配信していたサイトをブロックするように要請。Googleは要請に対して迅速に対応。その段階で同サイトはFirefoxに組み込まれている詐欺サイト/マルウェアプロテクション機能によって警告を受ける状態になっている。
  5. この新しいマルウェアについてアンチウィルスベンダへ報告。月曜の夜にはシグネチャが作成されている。
  6. Firefoxにおける同脆弱性の修正方法が開発される。レビューを実施して再度変更、もう一度レビューを実施し、26日にはすべてのブランチに対して同修正を適用。
  7. 火曜夜、リリースエンジニアリングによってビルドを作成。QAが修正を確認。
  8. 水曜の朝にはアップデートへ向けた準備を開始。
  9. 水曜午後、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15を配信開始。この段階では報告を受けてからまだ48時間も経過していない。

問題報告を受けてから問題の修正のみならず、検索ベンダへの報告、アンチウィルスベンダへの報告、問題の修正とその確認、修正版のビルド、配信へ向けた準備などが一連の流れとして機能していることがわかる。安定性などを犠牲にすることなく問題の修正と迅速なリリースが実施された点が注目に値する。

関連したタグ

    マイナビニュースのセミナー情報

    オススメ記事

    マイナビニュースの集合特集

    関連記事

    関連サイト

    新着記事

    転職ノウハウ

    あなたの仕事適性診断
    あなたの仕事適性診断

    4つの診断で、自分の適性を見つめなおそう!

    Heroes File ~挑戦者たち~
    Heroes File ~挑戦者たち~

    働くこと・挑戦し続けることへの思いを綴ったインタビュー

    はじめての転職診断
    はじめての転職診断

    あなたにピッタリのアドバイスを読むことができます。

    転職Q&A
    転職Q&A

    転職に必要な情報が収集できます

    ドS美人面接官 vs モテたいエンジニア
    ドS美人面接官 vs モテたいエンジニア

    入室しようとしたら、マサカリ投げられちゃいました!?

    特別企画

    一覧

      人気記事

      一覧

      イチオシ記事

      新着記事

      特別企画

      一覧

        求人情報