パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

13766393 story
バグ

iPhoneのSafariに不具合、特定のCSSアニメーションを使ったWebページを開くとクラッシュ 39

ストーリー by hylom
iOSでよくある話ではあるが 部門より
あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ(Safari)で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする(再起動される)という問題が発見された(GIGAZINE)。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた!サイト作って公開しよう!」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

13755840 story
インターネット

政府統計オンライン調査、各ブラウザのNPAPIサポート廃止によりIE11以外での回答提出はサポート対象外に 78

ストーリー by hylom
2018年のニュースとは思えない 部門より

政府の統計調査にインターネットを使ってオンラインで回答するための受付窓口となっている「政府統計オンライン調査総合窓口」におけるPDF調査票回答の推奨環境が2018年10月10日よりInternet Explorer 11(IE11)のみに変更された(同サイトの告知ページ)。利用者側でIE11環境を用意できない場合は紙の調査票での提出に切り替えるよう指示されている。

FirefoxやSafariのNPAPIサポートが終了し、ブラウザ上でのAdobe Readerプラグインが利用できなくなったことが理由だという。

13747205 story
インターネット

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 13

ストーリー by hylom
あと1年ちょっと 部門より
headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

13729148 story
Firefox

非常に長い名前のBlobでFirefoxをクラッシュさせる攻撃 29

ストーリー by hylom
新バグ 部門より
headless曰く、

CSSを使用してSafariをDoS攻撃する実証コードが先日話題になったが、作者のSabri Haddouche氏(pwnsdx)が今度はJavaScriptを使用してFirefoxをDoS攻撃する実証コードを公開している(Bleeping ComputerBetaNewsNeowin)。

この攻撃は非常に長い名前のBlobを生成して繰り返しダウンロードさせることでFirefoxがクラッシュするというもの。条件によってはOSがクラッシュすることもあるという。実証コードはGitHubで公開されているほか、Webサイト「Browser Reaper」で実際に動作を試すことも可能だ。Windows 10上のFirefox 62で試してみたところ、メモリ使用率が大きく増加していき、Windows自体の操作も困難になった。長い時間はかかったものの何とかPCをスリープさせることができ、復帰後にFirefoxのみクラッシュしたが、放置すればWindowsごとクラッシュするかもしれない。なお、Bleeping Computerの記事ではモバイル版のFirefoxには影響しないとしているが、Android版Firefoxで実行して放置するとアプリがクラッシュした。

この攻撃は以前話題になったGoogle Chromeに対する攻撃と似ている。ChromeのデフォルトではWebサイトによる複数ファイルの連続ダウンロードにユーザーの許可が必要になるため、許可を求めるダイアログで「ブロック」をクリックすれば攻撃を回避できる。ただし、Chrome 69ではダイアログが出たまま放置するとフリーズした。Windowsの応答も遅くなったが、タスクマネージャーでChromeを終了させることは可能だった。Microsoft Edgeの場合はダウンロード確認の通知が表示され、一時的にメモリ使用率が増加するものの、しばらくするとページがリロードされて元の状態に戻った。

MozillaのBugzillaでは複数ファイルの自動連続ダウンロードに対する保護の必要性が2年前から議論されている。ただし、今回の実証コードに対するバグリポート(報告者はおそらくHaddouche氏)は複数ファイルのダウンロードではなく、Blob URLの扱いに関するバグ1438214に統合された。バグ1438214は2月から議論されているが、こちらも現在のところ有効な解決策は出ていないようだ。

Browser ReaperではSafariに対するDoS攻撃の実証コード(Reap Safari)と今回の実証コード(Reap Firefox)に加え、Chromeに対するDoS攻撃の実証コード(Reap Chrome)を試すこともできる。こちらは履歴のナビゲーションをループさせる攻撃だ。Chromeでは実行後しばらくするとタブがクラッシュし、Edgeではページがリロードされた。一方、Firefox上ではReap Firefoxの実行時と同様の状態になってしまった。

13720294 story
Safari

WebページをSafariに読み込ませるだけでiOSデバイスが再起動するCSSベースの攻撃 11

ストーリー by hylom
2010年代のブラクラはOSもクラッシュさせる 部門より
headless曰く、

SafariにWebページを読み込ませるだけでiOSデバイスが再起動するという、CSSを使用したDoS攻撃の実証コード(クリック注意)が公開された。ソースコードもGitHubで公開されている(発見者のツイートNeowin9to5MacZDNet)。

攻撃はネストした多数のdivエレメント(PoCでは3,486個)に対し、処理に3Dアクセラレーションを用いるCSSのbackdrop-filterプロパティを適用するというもので、急速にグラフィックリソースをすべて消費してカーネルパニックを引き起こすというもの。macOS上のSafariでは一時応答しなくなるものの、しばらく待てばタブを閉じることが可能だという。

基本的に影響を受けるのはWebKitベースのアプリのみのようだが、Microsoft Edge/Inernet Explorerではページの読み込みに失敗する。IEの場合は大量にネストされたdivエレメントの処理の方で問題が発生しているようだ。Windows 7上のIEがクラッシュしたという報告もみられるが、手元のWindows 10環境ではIE自体がクラッシュすることはなかった。このほか、Windows 10上のGoogle Chrome/Mozilla Firefox/Opera/Vivaldi/Brave/UC Browserで試してみたが、特に問題が発生することはなくページが表示された。

なお、Chromeは「chrome://flags/#enable-experimental-web-platform-features」をEnabledにしなければbackdrop-filterプロパティが有効にならない。有効にしてPoCを読み込ませると画面が真っ黒になってしまったが、divエレメントの数を1~2個に減らせばフィルターが適用された状態での表示を確認できた。このほかのブラウザーはbackdrop-filterプロパティをサポートしないため、フィルターは適用されない。Android版のChromeでは「enable-experimental-web-platform-features」をEnableにしてPoCを読み込ませると端末ごとフリーズした。ただし、そのまま放置しておくと数分後にはChromeのタブがクラッシュし、操作可能な状態に戻った。

13713128 story
プライバシ

Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 20

ストーリー by hylom
結局通報だけでは動かないのか 部門より
Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していたという話があったが、こういった不正な処理を行っているアプリの存在をMac App Storeに通報しても、削除までに至る道のりは長いようだ。

headless曰く、

個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された(Objective-See's Blog9to5MacMac RumorsSoftpedia News)。

Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏(@privacyis1st)と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。

このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac(当時の名称はAdwareMedic)」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。

マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」(いずれも無料)についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。

これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。

13708213 story
Chrome

Google Chrome、発表から10周年を迎える 70

ストーリー by headless
生誕 部門より
9月1日、Google Chromeが発表から10周年を迎えた(Android Policeの記事9to5Googleの記事SlashGearの記事VentureBeatの記事)。

Googleが公式ブログでGoogle Chromeを発表したのは2008年9月1日。同日、Google Chromeを解説するコミックも公開している。翌2日にはWindows版のベータ版が公開され、同年12月には最初の安定版が公開された。Mac版とLinux版のベータ版が公開されたのは2009年12月、安定版が公開されたのは2010年5月だった。Android版は2012年2月にリリースされた。

StatCounterのデータでみると、デスクトップ版Chromeのシェアは2009年7月にOperaを超え、翌8月にはSafariを超えた。Firefoxを超えたのは2011年11月、2012年5月にはInternet Explorerを上回って1位になっており、2018年8月時点では67.63%と圧倒的なシェアを占めている。最近ではChrome独自の機能が実装されることも多く、新たなInternet Explorerになりつつあるともいわれている。
13660533 story
Firefox

FirefoxやEdgeでのYouTube読み込みはChromeの5倍時間がかかる 66

ストーリー by headless
低速 部門より
現行デザインのYouTubeは初めに動画部分が表示され、そのほかのテキストやボタン、サムネイルなどは先にプレースホルダーが表示されてから順次表示されていく。MozillaのChris Peterson氏によると、これをFirefoxやMicrosoft Edgeで読み込む場合はGoogle Chromeの5倍時間がかかるそうだ(Peterson氏のツイートThe Vergeの記事Neowinの記事9to5Googleの記事)。

YouTubeの現行デザインで使われているPolymerライブラリーは、Chromeだけに実装された非推奨のShadow DOM v0 APIに依存しているという。そのため、FirefoxとEdgeでは互換用に用意されたPolyfillを使うことになり、大幅に速度が低下する。Internet Explorerでは旧デザインで表示されるため、影響を受けない。

Peterson氏によれば、Firefoxでは拡張機能「YouTube Classic」を使用することで表示速度を改善できるという。The Vergeの記事ではEdgeとSafariでの対策として、Tampermonkeyを使用する手順を紹介している。大きなシェアを獲得したChromeは新たなInternet Explorer 6のようになりつつあるといわれているが、今回の問題もその一つのようだ。
13619959 story
プライバシ

Adblock Plus、ソーシャルメディアボタンをブロックする機能の有効化を推奨 17

ストーリー by hylom
分かる 部門より
headless曰く、

Webサイトに設置されたソーシャルメディアボタンによるユーザー追跡を防ぐため、Adblock Plusがソーシャルメディアボタンブロック機能の有効化を推奨している(公式ブログThe Next WebBetaNews)。

この機能はAdblock Plusの新機能のように報じられているが、実際には以前から利用できていた。AppleがWWDC 2018でソーシャルメディアによる追跡のブロックを発表したことを受け、改めて紹介したということのようだ。AppleがSafariに搭載する追跡の通知機能をAdblock Plusにも搭載すべきかどうかのアンケート調査も実施している。なお、Adblock Plusのブログ記事ではFacebookが主なターゲットになっているが、AppleはFacebookを名指ししてはいない。

ブログ記事では有効化の手順として、フィルターリスト「Fanboy's Social Blocking List」を追加するように説明している。このフィルターリストを追加すると、Adblock Plusの設定画面で「ソーシャルメディア アイコント ラッキングのブロック」チェックボックスがオンになる。わざわざフィルターリストを追加しなくても、チェックボックスをオンにするだけで追加されるようだが、こちらの手順が紹介されていない理由は不明だ。手元のFirefox環境ではかなり前にチェックボックスを設定していたようで、フィルターリストは既に追加されていた。

13612740 story
インターネット

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 11

ストーリー by headless
攻撃 部門より
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事Ars Technicaの記事SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。
13481501 story
インターネット

EV証明書を使用して既知の企業になりすませる可能性が指摘される 61

ストーリー by headless
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
13471077 story
Google

2011~2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 20

ストーリー by hylom
iPhone-X買うにはちょっと足りない 部門より
あるAnonymous Coward 曰く、

Googleが2011年6月から2012年2月にかけてSafariのCookieを利用してユーザーの行動を追跡していた問題で、イギリスの団体がGoogleを相手取って集団訴訟を起こしているようだ。もしこの団体が勝訴した場合、Googleから1人あたり500ポンド(約75,000円)を受け取れる可能性があるという(iPhone Mania集団訴訟のサイト)。

アメリカでは同様の訴訟が2012年に起こされており、こちらでは罰金の支払いが命じられている。イギリスでiPhoneを使用していた方は確認しましょう。集団訴訟のサイトがやたらとCoockieの情報が充実しているのには笑った。

ただし、権利があるのはイングランドおよびウェールズ在住者のみだという。

13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13348448 story
iOS

Apple、iOSやmacOSなどの脆弱性を多数修正 27

ストーリー by headless
多数 部門より
Appleは19日、CVE-IDにして合計69件、延べ208件の脆弱性を修正するiOSやmacOSなど7本のソフトウェアのセキュリティアップデートを公開した(The Registerの記事Neowinの記事The Vergeの記事9to5Macの記事)。

修正件数が最も多いのはiOS 10.3.3の47件。半数以上の24件をWebKit関連の脆弱性が占める。次に多いのはtvOS 10.2.2の38件で、37件のmacOS Sierra 10.12.6が続く。ただし、macOSでは25件の脆弱性を修正するSafari 10.1.2の修正情報が別途公開されているため、合計ではmacOS関連の脆弱性が最も多い。なお、これらの修正の一部は同日公開されたOS X El Capitan/Yosemiteのセキュリティアップデート(2017-003)にも含まれる。

今回のセキュリティアップデートはWindowsユーザーも無縁ではない。iTunes 12.6.2 for Windowsでは23件、iCloud for Windows 6.2.2では22件の脆弱性が修正されている。iTunes/iCloudで修正された脆弱性はほとんどがWebKit関連だ。このほか、watchOS 3.2.3でも16件の脆弱性が修正されている。

今回修正された脆弱性のうち、任意コード実行につながる可能性があるものは全69件中46件。WebKit関連では24件中19件となっている。iOS/macOS/tvOS/watchOSでは、BroadcomのWi-FiチップBCM43xxで発見されたリモートからの任意コード実行を可能にする脆弱性CVE-2017-9417(Broadpwn)も修正された。なお、GoogleはBroadpwnの脆弱性に対処したAndroidのセキュリティパッチを7月5日にリリースしている。
13343266 story
DRM

W3C、著作権管理技術EMEの標準化を決定。フリーソフトウェア財団などは反発 45

ストーリー by hylom
W3C外で勝手にやられるよりはマシという判断か 部門より
あるAnonymous Coward曰く、

W3Cは、WWWの生みの親であるティム・バーナーズ=リーの承認を得て、デジタル著作権管理付きコンテンツを再生するためのW3Cの標準仕様「Encrypted Media Extensions」(EME)の導入を決定した。今回の導入が決定したことにより、ユーザーはプラグインなしにコピープロテクションの掛かったコンテンツを閲覧できるようになる(techdirt記事1techdirt記事2FSFの発表1FSFの発表2Slashdot)。

EMEの導入に関してはフリーソフトウェア財団(FSF)や人権団体などが反対を続けてきた。理由としてはHTMLに直接DRMを導入することは、真にオープンなインターネットのあり方に反するものだといったもの。今回の決定に対して控訴手続きも行うという。W3Cの決定に控訴するための仕組みは用意されていたものの、使われてるのは今回が初めてである模様。

なお、EMEはすでにGoogle ChromeやInternet Explorer Safari、Firefox、Edgeなどでサポートされており、これを利用してDRM付きコンテンツをWebブラウザ上での再生できるようにしている動画配信サービスも登場している(The Netflix Tech Blog)。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...