榎です
On Tue, 18 Sep 2007 18:03:17 +0900 Takashi Nakamoto <[メールアドレス保護]> wrote: > 中本です。 > > > また、2.3.0のダウンロードページでアップデート推奨をやめられたみたいです > > が、復活していただけるとありがたいです。 > > > > 一般の人には、脆弱性という言葉が通じない人も少なくないですので、アップ > > デートが必要だと気がつかない人が出てくると思います。 > > > > 英語版がないというのでしたら、英語版の方こそ修正されるべきではないでしょ > > うか? > > とりあえず、どっかのMLで聞いてみます。 > # どのMLがいいんだろう。 > > ただ、すでに既知の問題でいくつかの機能(FontOOoとフォントワーク)が使え > なくなってしまっているということもあって、アップデートできない人がいる > 可能性があります。そのため、単にアップデートを推奨するのではなくて、TIFF > ファイルを使うことに問題があることを広く知らしめた上で、自己判断でアップ > デートをするように促したほうがいいような気がするのですが、どうでしょう > か。 > > 具体的な文面としては、 > ===== > 不正なTIFFファイルにより任意のコマンドを実行されてしまう可能性がある脆弱 > 性が修正されています。 > ===== > というのをアナウンス文の冒頭のほうに入れるとか。 > > でも、TIFFファイルは文書内に埋め込めることから、気づかない内に開いてしま > うということが可能性が高いことを考えると「推奨」とすべきか... > どの程度悪用されるかはわかりませんけど、危険性は高そうですね。 基本的にはアップデート推奨にしておいて、アップデートに伴う問題として 一部機能(FontOOoとフォントワーク)が使えなくなります、という警告を書い ておくのがいいかもしれませんね。 -- Shinji Enoki <[メールアドレス保護]> --------------------------------------------------------------------- To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]