IEとOEに任意コマンド起動の欠陥 18
ストーリー by wakatono
かける言葉も見つかりません… 部門より
かける言葉も見つかりません… 部門より
jbeef曰く、"さきほどBUGTRAQに流れた情報によると、 Windows版Internet Explorerに、ローカルにある任意のコマンドを起動できるセキュリティホールが見つかったとのこと。cmd.exeやtftp.exeを起動するなどすれば、ありとあらゆる悪さができてしまう。ウィルスに応用される危険性も現実的と思われる。 これはIEをHTMLメール表示に使用している、Outlook、Outlook Express等も同様に影響される。 発見者の説明にあるように、OBJECTタグのCODEBASE属性にコマンドのパス名を指定するだけで動いてしまうため、セキュリティ設定でアクティブスクリプトやActiveXを無効にしていても動いてしまう。これはかなり深刻だ。
先月発覚した、ソニーVAIOのセキュリティホールも任意のコマンドを起動できてしまう問題だった。このときは、ソニーは、それを深刻な問題と受け止め、責任を持ってユーザへの告知を徹底して行ってくれたが、今回のように、OEMとして販売しているWindowsに同等以上の欠陥が見つかった場合にも、パソコン販売メーカーは、同じようにユーザへの告知を徹底すべきではないだろうか。"
問題なのは (スコア:5, 参考になる)
Force Feeding のときは、別の弱点と組み合わせることで ActiveX も active scripting も無効な環境でも攻撃が成功してしまいましたが、今回の指摘も同様です。今回は The Pull 氏 [osioniusx.com]が active scripting が有効なら同じ弱点を突ける [rr.com]ことを示したことから発展して、 active scripting も無効でも同じ弱点を突けることを指摘しています。
なお、今回の弱点について、セキュリティホール memo [ryukoku.ac.jp] にも出ています。
鵜呑みにしてみる?
Re:問題なのは (スコア:4, 参考になる)
まず、OBJECT要素のCODEBASE属性でコマンドを起動できるのは、仕様のようです。 ただし、それは、そのHTMLがローカルファイルである場合にだけです。 ローカルファイルに同様のHTMLを書いて開くと、現在でも再現します。(ローカルファイルのHTMLからコマンドを起動する方法は他にもあり、推測可能なパス名のファイルに任意のデータを置けてはならないというのは、Windowsの基本的なセキュリティ仕様です(これ以上は今は語れない…気づいた人もここではつっこまないで!)。)
「Force Feeding」の件の本質は、次の2点にあったようです。
ところで、 OBJECTのCODEBASEでは起動するコマンドに引数を渡せないのでたいした危険がない [2ch.net]とする説があるようですが、その点はどうでしょうか?
Re:問題なのは (スコア:1)
この動作が仕様だ、というのは、どこかに書かれているでしょうか。ご存知だったら教えてください。 「コマンドライン引数なしで起動できるプログラムはたいてい*対話型*のプログラムで、ユーザに何の確認もなしに危険な処理を行うことはないだろう」という意味ならそうかもしれません。もちろん可能なら回避策を施したほうが、安全とか快適という意味でよいと思いますが。
鵜呑みにしてみる?
回避方法 (スコア:2, 参考になる)
と思っていたら、フィルタが用意されていました [dti.ne.jp]。パッチが出るまで、IEを使う必要がある場合はこれを使うのが確実でしょう。
Re:回避方法 (スコア:2, 興味深い)
今回の弱点の発見者によるサンプルコードには CDATA セクションが使われていますが、このことは弱点とは関係がありません。 CDATA セクションを使わない例をここ [ryukoku.ac.jp]の最後に書いておきました。
Windows NT 系で使えると思われる回避法 [ryukoku.ac.jp]を示してみました。試すかたは自己責任で。
鵜呑みにしてみる?
Re:回避方法 (スコア:1)
セキュリティホール memo メーリングリスト [ryukoku.ac.jp]で教えていただきました。
鵜呑みにしてみる?
責任ある開示 (スコア:1)
セキュリティー・ソフトのベンダーにも連絡すると、脆弱性を利用したワームの出現に備えた定義ファイルを用意しておけますね。なるほどなるほど。
#既に常識なのかな?
Re:回避方法 (スコア:1)
ぽ
そんなわきゃーない! (スコア:3, おもしろおかしい)
とか、ニュースリリースが出たりして
ISP中には (スコア:1)
まるで某社の自らの欠点を新たな商売のネタとする手法を踏襲するようなやり口に感心します。
Re:ISP中には (スコア:1)
う~ん、気持ちは分りますけど、そう断定的なのもどうかと思いますが。(元発言はもちろん皮肉ですよね?)
現代って、一分野だけで商売って成立ち難いですし、販売会社もISPも「これはウチの仕事か?」と思うこともやらなくてはならないのでしょう。
その上で、予算は何処かしらから調達しなくてはならないわけで。
そういう意味では、いたしかたないとも思えます。
「金は払ってやるから、手前の方でやってくれ」って人は少なくないですからねぇ。
ただ、ISPがフィルタリングサービスをしないといけないような製品が標準であり、それが市場を事実上独占してるうえ、利用者の多くが代替手段を知らないということには、それこそ感心してしまいますが。
なんか、何処が悪いとかじゃないように思えてなりませんよ、最近の世の中。
おいおい (スコア:0)
なんでプロバイダにやつあたりする?
Re:おいおい (スコア:0)
Re:おいおい (スコア:0)
結構キレイにまとまっているサイト (スコア:1)
http://homepage2.nifty.com/m_kamada/javascript/ietest7.htm [nifty.com]
私の様なヒヨッコには非常に有り難い情報満載でした。ご参考までに。
欠陥って… (スコア:0)
Windows自体が欠陥商品なので、それ自体OEMで販売することが問題になりゃせんだろうか?
最近 (スコア:0)
Re:最近 (スコア:0)