Becky!の独自拡張機能に重大なセキュリティ欠陥 126
墓穴 部門より
jbeef曰く、"Shadow Penguin SecuirtyのTechnical Forumに4月30日に書き込まれたコメントによると、
「Becky! Internet Mail」には、mailto: URLの処理に独自拡張した機能があり、「X-Becky-Attachment=ファイル名」で添付ファイルの自動指定ができ、
「X-Becky-Action=send」でメールの自動送信ができるのだという。つまり、
(mailto:へのリンクをBecky!で処理する設定にしている場合には、)
悪意あるWebサイトを訪れると、あるいは悪意あるHTMLメールを表示すると、ユーザの確認なしに、既知のパス名のローカルファイルを添付して指定のメールアドレスに自動送信してしまう。
回避策は、Windowsの「フォルダオプション」の「ファイルの種類」で、「URL:MailTo Protocol」を選び「詳細設定」ボタンを押し、「open」アクションを削除する。または、「インターネットオプション」の「プログラム」のタブの「電子メール」をBecky!以外にするなど。
製造元は「次期バージョンアップの際にこの独自拡張は削除される」と回答したとのことだが、削除するだけならすぐにリリースできるはずではなかろうか。開発中の次期バージョンを修正してリリースしようとすると、テストが不十分でリリースが遅れることもあるだろうが、直前のリリース済みバージョンから余計な機能を削除するだけならすぐにできるはずだ。ただし、発見者が何日前に報告したのかは不明。
一般に、開発者は、独自の機能拡張のアイデアを思いついたときは、それが標準に存在しない原因として、セキュリティ上の理由があるのではないかと疑ってみるべきだ。"
mailto: URLについては (スコア:2, 参考になる)
つって、実はOMEではまだちゃんと実装されてなかったりしますが(汗)>rfc2368
自動添付・自動送信は怖過ぎです。何考えてるんだか。
Re:mailto: URLについては (スコア:1)
ダミーの選択肢が欲しいかも (スコア:2, すばらしい洞察)
デフォルトの Web ブラウザや電子メールアプリケーションに
ダミーで設定できる trapper が欲しいかも。
「標準のアプリケーション」呼び出されたときに、一度
ダイアログが開いてどのように対処するか選ぶもの。
拡張子の処理方法はこのように尋ねられるわけだから、
各URLスキームについても処理の方法をOS側で選択
出来るようにしてもよいと思うのだけど。
- Ryuzi Kambe -
Re:ダミーの選択肢が欲しいかも (スコア:2, 参考になる)
C:\>ftype mailto
mailto="C:\PathToProgram\RimArts\B2\B2.exe" "%1"
C:\>ftype mailto="C:\PathToProgram\mailto.vbs" "%1"
mailto="C:\PathToProgram\mailto.vbs" "%1"
C:\>type C:\PathToProgram\mailto.vbs
' mailto.vbs - mailto protocol trapper
arg = Wscript.Arguments(0)
str = "X-Becky-Action"
Set objRE = New RegExp
objRE.Pattern = str
objRE.IgnoreCase = True
If objRE.Test(arg) Then
MsgBox("'" & str & "' found!")
Else
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run( "C:\PathToProgram\RimArts\B2\B2.exe " & arg )
End If
C:\>
機能を殺してしまう方が良いかも (スコア:1)
windowsって確認ダイアログが、ぽこぽこ出るので『うっかり』送信してしまう可能性があります[笑]。
(スクリプトの実行可否の問い合わせとか、Active某のダウンロードの問い合わせとか...)
mailtoタグで送信するって、そんなに多用しますか?
(私は問い合わせの1回目の送信でしか使わないです。
返信する場合はメールヘッダの返信先を使用するのが筋ですし...)
# クリック1発でメール打てなきゃヤダって人は...
>各URLスキームについても処理の方法をOS側で選択
これはOSではなく、そのhtmlを解釈/表示しているアプリ側の問題でしょう。
ディフォルトで使用するアプリが環境変数なりレジストリなりに設定してあるだけの話です。
このディフォルト値を使用するか否かはアプリ(ブラウザとかメーラの)側の問題です。
# レジストリ情報を使わずにメーラを起動するブラウザも存在する事をお忘れなく...
notice : I ignore an anonymous contribution.
Re:機能を殺してしまう方が良いかも (スコア:1)
> # レジストリ情報を使わずにメーラを起動するブラウザも存在する事をお忘れなく...
…ってことは機能を殺す確実な方法は無いことになりますね。
バイナリエディタでB2.EXE中の"X-Becky-Action="部分の文字列を潰してしまう方法は有効でした。
(「送信前に必ず宛先を確認」オプションをONすれば防げるんだけど)
ちなみに "X-Becky-Template=eml形式ファイル名" という第3番目の独自拡張も存在します。
差し引くことも付け足すことも (スコア:1, すばらしい洞察)
(アプリ開発は)難しい。
…多分
Re:差し引くことも付け足すことも (スコア:2, 参考になる)
Becky! Ver.2.05.11 [rimarts.com]
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
うちの会社では (スコア:1)
という順でセキュリティを評価しています。
今日現在のセキュリティホールの状況と、開発体制を踏まえています。
Re:うちの会社では (スコア:0)
というか、不等号の定義が不明。安全度なのか危険度なのか。
Re:うちの会社では (スコア:0)
まあ、アレゲな人でないと使いこなせないかもしれないけど…。
Re:うちの会社では (スコア:1)
Re:うちの会社では (スコア:2, 参考になる)
>作者の方が病気という話みたいですが...。
昨年1月頃、「日常生活は何とかなっているが、開発はできそうにもない。引き継ぎの準備を進めている。」ということを表メーリングリストで仰ってます。
# こっそりリリースが懐かしいので AC
Datulaの現状(was Re:うちの会社では (スコア:1)
私はDatulaの使い勝手が気に入ってますし、その昔の(要望・バグ指摘に対しての)
対応の素早さも大変嬉しかった記憶がありますが、1.52自体も正式リリースは
されてはいないし、もう諦めたほうがいいのかもしれません。
Windowsを常用している理由がDatulaにあるので、Linuxに移植してくれたら、
さっさと移るかも知れんのだが。。。無理だなぁ。
securityに関して言えば、なんともいえませんね。
defaultで危険なほうにはなるべく倒さないようにしているとは思いますが…
運用回避 (スコア:1)
2. Becky! の設定で HTMLメールを自動的に開かないようにする。
これで心配なら更に
3. Windows の設定で mailto をクリックした時のアクションを削除する。
(ちなみに Win98SE では デフォルト設定で outlook が起動する)
ってとこでしょかね?
1. はデフォだと今回の件に関係ないし
2. は普通この設定にしてるでしょう?(してないかな 汗)
3. の手順は次の通り (Win98SEの場合)
a) スタート =>設定 ->フォルダオプション
b) ファイルタイプのタブをクリック
c) URL:MailTo プロトコル をクリック
d) アクションに open があるので、それを削除
※ちなみに、再設定する場合は、前の情報を自分で控えておいてくださいね。
私はメモらずに削除してしまいますた。
Re:運用回避 (スコア:2, 参考になる)
タレコミ本文中にある、Technical Forumの書き込みからいける確認ページのソースを見ていただけるとわかると思いますが、meta要素で「HTTP-EQUIV="Refresh"」を用いています。
つまり、読み込んだ時点でアウトというわけです。
補足 (スコア:1)
上のほうで報告されている「送信前に宛先を確認」をBecky!で設定するか
Windows で 3. の設定をしておくように。
ということでよろしいでしょうか。
Re:運用回避 (スコア:0)
HTMLメールって使われてるんですか? (スコア:1, 興味深い)
最近はそうでもない?
その辺の状況の資料ってご存知の方おられませんか?
Re:HTMLメールって使われてるんですか? (スコア:1)
デフォルトがHTMLばりばりですが何か(カンベンしてくれ)
ネットオークションやってますが、
メールもらってHTMLだったのでそれとなく注意・・・というパターンもいい加減疲れました。
インターネットはすでに、アレゲな人=マイノリティなのです。ぐすん。
Re:HTMLメールって使われてるんですか? (スコア:1)
そこから推測すれば、どういう現状かは容易に想像つくと思いますが。
Re:HTMLメールって使われてるんですか? (スコア:1, 興味深い)
営業がOEでHTMLメールを使っていて、顧客から
と言われました。
この顧客、アレゲでもないお役所の普通の情シスの人間です。
ええ、/.-Jでもよく槍玉に上がる大手ITベンダです。
昨年度の決算が赤字になった大手ITベンダです。
#まあ、所詮こんなもんさ。
#当然のごとくAC
Re:HTMLメールって使われてるんですか? (スコア:1)
大学とか普通に卒業していきなり営業になったなら、そんなこと
わからんだろうし。。
# それよりも俺はマカーだからみれねぇって何度も言ってんの
に(まるいち)とか(株)とか送ってくるんじゃねぇ!!ゴルァ
Re:HTMLメールって使われてるんですか? (スコア:1)
広告メール(SPAMに限らない)の分野では、
他との差別化を図るためにHTMLメールが一般的になってきてるようです。
(パーキンソンの法則のことは考えていないらしい)
アメリカでは半分以上、韓国では100%がHTMLメールという調査 [atmarkit.co.jp]も
あったとは思いますが、CODE REDとか鬼のような数のSPAMとか
そういうことを考えると、普及するのもどうだか。
Re:HTMLメールって使われてるんですか? (スコア:1)
マーケティング関係者から見たら、
・目立つから素人さんに受けがよくて、
・見たか見ないかすぐわかって、
・さらに、申し込みフォームもすぐつけることができて、
ってことで、「HTMLメールはすばらしい」というのは
どうもあたりまえな気もします。
イタイのは同感ですが、そのうちイタイと思ってる方がイタイと
思われるようになっちゃうかもしれないですね。
Re:HTMLメールって使われてるんですか? (スコア:1)
Re:HTMLメールって使われてるんですか? (スコア:1)
このツリーの前発言で私がリンクした例のツッコミどころの多い記事、
あれに実例がいくつか書いてありますよ。
ところで、例の記事を探すときに「韓国ではHTMLメールが100%」って
とこだけ覚えていたのでその辺のキーワードで検索したんですが、
注文確認メールは開封率100%だから、これを利用しない手はない [internet.com]
みたいなページがついでにひっかかりました。参考までに。
サーバのセキュリティホールを指摘しても放置 (スコア:1)
配送遅延も起きているから、最新のsendmail+smtpfeed or postfixにあげて下さい」
とお願いしたら、
「申し訳ないですが、サーバーのプロバイダ側が標準で提供しているMTA以外を導入して、トラブルが起こったときに対処できる自信がありませんので、ご勘弁ください。」
という返答が帰って来て絶句したことがあります。
先日のsendmailセキュリティホール*2の騒動があっても、当時と変わらないままなので、かの作者にセキュリティ意識を求めるのはあきらめています。
Received: from ns.rimarts.com (localhost [127.0.0.1])
by ns.rimarts.com (8.8.8/3.6Wbeta7)
with ESMTP id KAA16201;
Thu, 28 Dec 2000 10:58:26 +0900
Received: from ns.rimarts.com (localhost [127.0.0.1])
by ns.rimarts.com (8.8.8/3.6Wbeta7)
with ESMTP id LAA24138;
Sat, 3 May 2003 11:36:58 +0900
# rm -rf ./.
Re:サーバのセキュリティホールを指摘しても放置 (スコア:1)
業者が責任を持ってくれないのになにもせずそのまま放置してるんですわ。
自分で出来ないなら、業者に追加金払って、メンテしてもらえばいいものを…
ns.rimarts.comをホスティングしているPROXのサービスは、彼らが契約したと思われる時期に使ったことがあるんですけど、当時は既に時代遅れのRHL4.X+pje(しかもtgz版!)+いい加減な手buildという酷いモンでした。
どこをどう弄ったかの資料も貰えませんでしたし、新規契約で受け取った時点で既に既知のセキュリティホールが残っている有様でした。
苦労して埋めましたが、別のホスティング屋に入れ替えるまで要らない苦労をする羽目に…
言ってしまえば安い分、粗悪で、メンテをきちんと出来ない人が使うと穴だらけのままになるんです。
設置後は落ちたときにあげ直してくれる程度しかしてくれません。
なのに、自覚のなさ…あきれ果ててそれ以上言うのをあきらめたほどです。今でも改竄とかされてないのが不思議なぐらい。
# すべて、当時の話です。現状は知りません。その点誤解無きよう
# rm -rf ./.
対策版がリリースされました (スコア:1)
・Becky!独自のmailtoプロトコルの拡張により、悪意ある送信者によって、受信者の意図しないメールを送信することが可能になってしまうセキュリティホールを修正。
現在オフィシャルサイトは非常に重いです。
Re:対策版がリリースされました (スコア:1)
そういう時こそP2Pだ。
ってコトで、winnyに「bk20511j.exe」を載っけてみました。
多少なりとも分散されることを願って…
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:対策版がリリースされました (スコア:1)
ってなっとります。
ので、大丈夫かと。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:対策版がリリースされました (スコア:1)
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
なにゆえにこんな拡張を (スコア:1)
最新版のドキュメントにも記述がないようだし。
なんか昔のiモード携帯にあった、</XPLAINTEXT>みたいな感じなのかなぁ。
次期バージョンアップといわず (スコア:0)
パッケージソフトならともかく、シェアウェアだとこのへんは小回りがきいたすばやい対応が可能っぽいイメージがあるのになあ。
対策版でましたよ (スコア:1)
Ver2.05.10 -> Ver2.05.11
・Becky!独自のmailtoプロトコルの拡張により、悪意ある送信者によって、受信者の意図しないメールを送信することが可能になってしまうセキュリティホールを修正。
Re:次期バージョンアップといわず (スコア:0)
Re:次期バージョンアップといわず (スコア:0)
Re:次期バージョンアップといわず (スコア:1, すばらしい洞察)
使うのやめるんなら勝手にやめればよろし
Re:次期バージョンアップといわず (スコア:1, すばらしい洞察)
私も、みんながWindows上でBecky使っているので、Windowsで一度Beckyをインストールしてみたのですが、起動するとメインウィンドウ見るだけで目がチカチカしてきたので、Becky使うのはやめてOutlook使うことにしました。
普段はSylpheed使いなんですが、Sylpheedもムダに設定項目が増えてきてて、そろそろ使いづくなってきてますね。
「設定しなきゃいけない項目」ってのと「設定できる項目」ってのは別なんですけどねぇ。
送信前に宛先を確認 (スコア:0)
Re:送信前に宛先を確認 (スコア:0)
Re:送信前に宛先を確認 (スコア:2, 参考になる)
手元の環境で再現確認(とあるファイルを添付して、自動送信)しました。
送信前に必ず宛先を確認にチェックを入れると、自動送信はされずにメール作成画面が開かれて止まることも確認。mailto: で沢山のメールを送付させる記述orそういうスクリプトが可能ならDoS攻撃になりますね。(可能かどうかは知りません)WIN9x系なら十数個の窓が開いたあたりで固まるでしょう。
ただし、mailto: でメール作成画面が開くという事が攻撃になりうるなら他のメーラでも同じ攻撃が成り立ちますね。
もう使わない (スコア:0, 余計なもの)
Re:もう使わない (スコア:0)
なんだかんだでOEに戻ってしまったんだが、メールがたくさんあるフォルダだとBeckyはかなり遅い。
Re:もう使わない (スコア:1)
# PC内にIMAPサーバを立てれば、MUAは替え放題という・・・
鶴亀メールもよろしく (スコア:1, 参考になる)
Re:鶴亀メールもよろしく (スコア:1)
Re:激しく反省 (スコア:1)
いちおー説得材料 (スコア:1)
か
「全部のクライアントがインストールしているソフトが把握できるので
違法コピーのソフトを勝手にインストールする事を防止できます。
もし会社のコンピューターに社員が勝手に違法コピーを導入していた場合
会社に使用責任として損害賠償請求が来ますよ」
とでも。