>>> 背景を考えて、あえて語を補うならば「オーバフローが発生する >>> ように細工を施したTIFF ファイル」となるのかなと。 > > です。
そうですね。すみません、すでにそうおっしゃっていたのね。 わたしが早とちりでした。 > > ただ > http://ja.openoffice.org/security/bulletin.html > のようにリストの一覧としての見出し行としての1文であるとか > 詳細な個別の情報に対する要約のような位置付けなのかも、と > 考えると、少し噛み砕いてより大勢の人に伝える(着目して > もらう?)という判断もアリかなぁと個人的には思いました。 > 極端にかけ離れるのは問題ですけど、そういう訳で今回は > 「不正」でも違和感は感じませんでした。 背景まで含めて、matsuro さんと同じ意見です。 斎藤 玲子 Akira Mutsuro wrote: > Reiko Saito wrote (2007/09/19 14:15) : >> 迷ったときは、「事実」を探すのが遠いようで >> 近いのではないか...と、思っています。 >> >> この場合も、情報を探してみたところ、以下のようなものがありました。 >> >> http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=593 >> >> OpenOffice が tiff を構文解析するときにパーサーがメモリーの容量を >> 計算しようとして、信頼性の低い値を使うことが大元の原因らしいですね。 >> そこにつけ込んで、tiff に特別な値を仕込んでおけば、ヒープオーバーフロー >> を意図的に起こせるということだそうです。 >> >> 「不正な」と言い切ってしまってもいいけれども、 >> 「意図をもって何かを仕込んだ」とした方が、事実に近いかも。 > > はい。 > Red Hat Security Advisory から Red Hat Bugzilla を辿ると > Red Hat によるパッチがあるのですが、みた感じ itiff.cxx で > オフセットの計算を慎重にやるような変更に見えますし。 > OOo サイトのソースコードなら > graphics/goodies/source/filter.vcl/itiff/itiff.cxx の > v1.13-v1.14 でしょうか。 > > なので、私自身の理解は > >>> 背景を考えて、あえて語を補うならば「オーバフローが発生する >>> ように細工を施したTIFF ファイル」となるのかなと。 > > です。 > > ただ > http://ja.openoffice.org/security/bulletin.html > のようにリストの一覧としての見出し行としての1文であるとか > 詳細な個別の情報に対する要約のような位置付けなのかも、と > 考えると、少し噛み砕いてより大勢の人に伝える(着目して > もらう?)という判断もアリかなぁと個人的には思いました。 > 極端にかけ離れるのは問題ですけど、そういう訳で今回は > 「不正」でも違和感は感じませんでした。 > > まぁある部分は程度問題かもしれませんし、mutsuro って人は > そう考えたんだなぁくらいで流して読んで貰えればと思います。 > > -- ******************************************** Reiko Saito Japanese Language Lead Translation and Language Information (TLIS) Globalization Services Sun Microsystems, Inc. Email: [メールアドレス保護] Phone: +81 3 5962 4912 Blog: http://blogs.sun.com/reiko ******************************************** --------------------------------------------------------------------- To unsubscribe, e-mail: [メールアドレス保護] For additional commands, e-mail: [メールアドレス保護]
