【レポート】

Firefox脆弱性報告から修正版リリースまでの48時間の流れ

Firefox web browser - Faster, more secure & customizable

25日にFirefox 3.6および3.5に任意のコードを実行される脆弱性があることが発覚。Mozillaがその問題に気がついてから、48時間以内に対応が実施され、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15が公開された。問題が発覚してから48時間以内にアップデート準備まで終わらせるという迅速な対応となる。

どういった手順を踏んで対処が実施されたのかがLegNeato! - Two F-ing days for Firefox 3.6.12 and 3.5.15!で紹介されている。実際にどういったやりとりがあったのかが要点をおさえてまとめられており参考になる。紹介されている内容は次のとおり。

  1. おそらく日曜日(24日)に新しいトロイが仕込まれている。
  2. Telenor SOC社が顧客のネットワークに対する不正侵入を調査していると、Windows XPで動作する特定のバージョンのFirefox 3.6にヒープバッファオーバーフローの脆弱性があることを発見。Mozillaへ報告。Mozillaに報告がやってきたのは太平洋夏時間で月曜(25日)の21時過ぎ。
  3. 月曜の夜中にわたって多くのエンジニアがこの問題の調査を実施。
  4. 月曜の夜、MozillaはGoogleに対して同脆弱性を利用してマルウェアを配信していたサイトをブロックするように要請。Googleは要請に対して迅速に対応。その段階で同サイトはFirefoxに組み込まれている詐欺サイト/マルウェアプロテクション機能によって警告を受ける状態になっている。
  5. この新しいマルウェアについてアンチウィルスベンダへ報告。月曜の夜にはシグネチャが作成されている。
  6. Firefoxにおける同脆弱性の修正方法が開発される。レビューを実施して再度変更、もう一度レビューを実施し、26日にはすべてのブランチに対して同修正を適用。
  7. 火曜夜、リリースエンジニアリングによってビルドを作成。QAが修正を確認。
  8. 水曜の朝にはアップデートへ向けた準備を開始。
  9. 水曜午後、Windows、Mac OS X、Linuxにおけるすべての言語版に対応した修正版Firefox 3.6.12およびFirefox 3.5.15を配信開始。この段階では報告を受けてからまだ48時間も経過していない。

問題報告を受けてから問題の修正のみならず、検索ベンダへの報告、アンチウィルスベンダへの報告、問題の修正とその確認、修正版のビルド、配信へ向けた準備などが一連の流れとして機能していることがわかる。安定性などを犠牲にすることなく問題の修正と迅速なリリースが実施された点が注目に値する。

関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報