Mozillaに任意ドメインのCookieが漏曳するセキュリティホール 32
ストーリー by Oliver
Gecko使用アプリでの設定方法は? 部門より
Gecko使用アプリでの設定方法は? 部門より
k3c 曰く、 "BugTraqへの投稿によれば、Mozillaで javascript://[host]/[path]\n[code to read cookie] というjavascriptを呼び出すことにより、任意のドメインのcookieを参照することができてしまう。つまり、罠が仕掛けられたWebページにアクセスするだけで、任意のドメインのcookieを盗まれてしまう。
Mozillaの0.9.2~1.1AlphaまでとNetscape6.0~6.2.2までがこの脆弱性を含んでいるが、編集メニューから 設定→詳細→スクリプト&ウインドウ→cookieを読む をoffにすることで回避できる。なお、先日リリースされたMozilla 1.1 Betaではこの問題は既に修正済みとのこと。
この投稿にはexploitも提示されており、試したところ確かにgoogle.comのcookieが表示された。これはかなりヤバい穴なのできちんと設定変更して回避すべし。"
Chimera 0.4.0 でも再現しました (スコア:4, 参考になる)
そこで /Users/(ユーザ名)/Library/Application Support/Chimera/Profiles/(プロファイル名)/(ランダム8文字).slt/prefs.js をテキストエディタ (わたしの場合は Emacs) で編集、を追加して再びテストし、抜かれなくなったことを確認しました。
というわけで他の Gecko 使用アプリについても似たりよったりの状況ではないかと思われます。
Netscape 7.0 PR1 for Mac OS Xでも (スコア:1)
再現確認だけで大した話でもないし、Mac OS Xの話だからChimeraに繋げときます。
が。タレコミには「Netscape6.0~6.2.2まで」って書いてありますね。
しかし、ソースであるBugtraqの投稿 [securityfocus.com]には「Netscape」の文字は無いんですが、「Netscape6.0~6.2.2まで」ってドコからの情報なんでしょう?
何か別の情報源が有るなら、タレコミ中で示しておいた方が良いかと。
まぁ実際には表題の通りです。
対策も同じ、[Script&Windows] → [Read cookies] のチェックオフでした。
影響を受けることがアナウンスされているバージョン一 (スコア:2, 参考になる)
とはいえ Netscape 7.0 PR1 が載っていなかったりもするのでこのアナウンスにないから即安全とは言えないでしょうね。
Re:影響を受けることがアナウンスされているバージ (スコア:1)
でも、正直に言ってタレコんだ方の日記までは見ませんから。
タレコミ中で「Mozilla JavaScript URL Host Spoofing Arbitrary Cookie Access Vulnerability [securityfocus.com]によると~」とかした方が良いと思いますけど。
そうでないとせっかくのタレコミの質が落ちちゃいますよね。
Re:影響を受けることがアナウンスされているバージョ (スコア:1)
> このアナウンスにないから即安全とは言えないでしょうね。
おっしゃる通りです。自分が使っているバージョンが安全かどうかは、結局のところ自分で確かめるしかありません。そう考えると、バージョン云々はむしろ余計だったかもですね。今回はexploitのサンプルも提示されているわけですから。
回避すると何が起きる? (スコア:3, 興味深い)
この種の対策で思うのは、設定をそのようにするとどんな不利益を被るのか、 という事です。できればそうした情報も欲しい。もし不利益がまったく無いのだとしたら、 いったいなんでそんな設定項目があるのか?という疑問もある。
cookieをoffすると何が起きる? (スコア:1)
これは「受け入れない」に変更しておくべきでしょう。
それで不都合はほとんどありません。不都合は、
変にこったサイトは見れない → 見なけりゃいい
ショッピングとかできない → しない
スラドに簡単ログインできない → スラドは見ない(笑)
くらいです。
で、それで都合が悪ければ、必要なURLだけ信頼済みサイトに
指定して、クッキーを受け入れればいいだけでしょう。
とにかく今すぐ、受け入れたクッキーは消去し、整理したほうが
いいでしょう。
ちょっとずれてます (スコア:1)
今問題になっているのは、その受け入れ済みのクッキーを抜かれるという話です。またoltioさんは、今回の事に限らず、この種の対策の情報の出し方について問題にしているのでしょう。 今回の事についてはmozillaのhelpを参照すると となっていますので、クッキーを使ってJavaScriptの挙動をコントロールするようなサイトを見るのに支障をきたすのでしょう。
しかしこう言ったところで、実際それはどの様に不都合なのか良く分かりません。「JavaScriptをoffにすると、JavaScriptを使ったサイトを見るのに支障をきたします」と言ったところでそれがどの様に不都合なのかは分りません。分るためには「JavaScriptを使うと何が便利なのか」を知る必要があります。ただ私はそこまでの情報を、この種の対策の情報に含めるべきだとは思いません。
Re:回避すると何が起きる? (スコア:1)
影響は必ずしも不利益とは限らないのでは?無駄なものが動かなくなってすっきりするとかは利益かもしれませんし、何が利益で何が不利益なのかは立場や好みによって変わると思います。
なので、その設定が何を意味するのかが分っていればよいのではないでしょうか?今回のはそのまま「JavaScriptでクッキーを読む」という設定なのであまり説明は必要ないかも。
Re:回避すると何が起きる? (スコア:1)
なっていないのか、というのがよくわからなかったのでした。
それなりの利益があるからonになっている、というのなら
納得がいくのですが。
Re:回避すると何が起きる? (スコア:1)
してるところはありますよ。
今回のCookie漏洩については、Cookieの要求が正当か
判断するように実装されていれば、問題にはならなかった
ということですよね。
でしたら、この機能を切る強い理由はなかったと思います。
初期設定で機能を切っておくというのも悪くない選択ですが、
その場合は、使用者からの、あまり有益でない質問に辟易する
ことになるかもしれません。
もっとも、これは一使用者の推測ですので、もし真実をお知りに
なりたいのであれば、Mozillaの初期設定を決定する方を捜して、
その方に質問すると良いと思います。
Treason, like beauty, is in the eye of the beholder.
mozilla.org のプライバシー解説文書 (スコア:1, 参考になる)
理解する)というページがありますのでどうぞ。
http://www.mozilla.gr.jp/docs/beginmoz-1.0/consideration.html#consider... [mozilla.gr.jp]
まずい、サブジェクトのカタカナ文字をミスった (スコア:0)
人のふり見て (スコア:2)
Re:人のふり見て (スコア:1)
先にIEでそのバグが見つかったとか?
いろいろ邪推してしまうね。
Re:人のふり見て (スコア:0)
Re:人のふり見て (スコア:0)
Re:人のふり見て (スコア:0)
手伝わせるだけ無駄だと思います。
また、本当に指摘どおりマイクロソフトより劣っていても現実の品はマイクロソフト製よりはましなので今のところは困ることは無いでしょう。
Re:人のふり見て (スコア:0)
ある場合は少なくともマイクロソフトのブラウザで
見つかったバグが Mozilla にも存在するかくらいは
彼にも出来るだろうから。
それすらできないような奴に「能力が低い」なんて
言われたくないしね。
Re:人のふり見て (スコア:0)
悪意が無いのはわかるんだけど、どきっとする。
あ、全然違う話でしたね。
Re:人のふり見て(オフとぴ) (スコア:3, おもしろおかしい)
Re:人のふり見て(オフとぴ) (スコア:0)
そいや、むかしのgopherサーバで/dev/ttyへアクセスできてしまって、ハングアップしちゃうという有名なバグがありましたな。まだhttpよりgopherの方がメジャーだった牧歌的な時代でしたが。
なぜ人は過去から学ぼうとしないんでしょーな……。
Re:人のふり見て(オフとぴ) (スコア:1)
いえ、むしろ過去から学ばないのではなく、過去を知らない人たちがそういうどきっとするようなソースを書くのでしょう。
確かビルダーとかの機能で作業ドライブとは別ドライブのファイルに対してリンクを貼る→a:\,c:\配下のファイルとかにするとそういうことになったかと思います。
せめて自分が作っているものの流れくらいは理解して作って欲しいものですね・・・。
Netscape社的には (スコア:1)
#むしろ脆弱性の存在は分かってて伏せたまま6.2.3で修正したのかな。
#未だに1.0rc3を使ってる俺って一体(Windowsのみ、だけど)
gy0
Netscape 6.2.3 にも影響します (スコア:2, 参考になる)
こちら [srad.jp]でも書きましたが影響があるというアナウンスがないから即安全と判断するのは危険だと思います。
なお、ものはついでなので K-Meleon [sourceforge.net] 0.6 、GLU [zawameki.net] 0.16 (with Mozilla 1.0) 、和ジラ [osdn.jp] 1.0c/Win でもテストし、いずれも再現することを確認しております。
Re:Netscape 6.2.3 にも影響します (スコア:1)
gy0
Re:Netscape 6.2.3 にも影響します (スコア:0)
上の対処法のメニューが無い!どうすれば…
Netscape 6 での対応 (Re:Netscape 6.2.3 にも影響し (スコア:1)
機能ごと殺されているようで prefs.js に直接 dom.disable_cookie_get を指定しても効果がないため、可能な対応としては
- 編集メニューから設定→詳細で「Navigator で JavaScript を有効にする」のチェックを外し、すべての JavaScript を止めてしまう
- prefs.js を編集し、こちら [mozilla.gr.jp]で無津呂さんが紹介されている手順でサイト単位に JavaScript の実行許可を設定する
といったものしかないかと思われます。前者はすべての JavaScript が止まるため安全といえば安全ですが、有益な JavaScript も動かなくなるため必要に応じて JavaScript を実行可能に設定し、必要がなくなったら再び実行不可能に設定し直す必要があります。
後者は JavaScript の実行を許可したいサイトだけを許可サイトとして登録しておくことでそれ以外のサイトで JavaScript を実行することを抑制しつつ必要なサイトで JavaScript を実行させることが可能になりますが、prefs.js を書き換えなければいけないこと、書き換えるたびに Netscape 6 の再起動が必要 (ですよね?) なこと、サイト単位での許可/禁止なのであるサイトを許可すると同一サイトで危険なスクリプトがあった場合無防備になってしまうことが問題となるのではないでしょうか。
ゾーンポリシーで特定サイトだけ JavaScript を許可 (スコア:1, 参考になる)
一部のサイトで正しくアクセスできなくなるそうで、
その対策がもじら組掲示板に出てました。
http://www.mozilla.gr.jp/tools/cbbs/cbbs.cgi?mode=one&namber=2275&type... [mozilla.gr.jp]
Bugzilla 情報 (スコア:0)
本件については Bugzilla にも、 Bug 159152 - Javascript can steal cookies from other domains [mozilla.org] で登録されており、 Bug 152725 - Possible cookie stealing using javascript: URLs [mozilla.org] と同件(duplicate)として修正が確認(verified)されています。
あとは、早いとこ Mozilla 1.0 の修正版が出てくれればなあ。 (Mozilla 1.1 Beta は未だ不安定なので。)
Re:Bugzilla 情報 (スコア:2, 参考になる)
Win版の1.0.1 20020722で確認してみたところ、アラートに何も表示されませんでした。
latest-1.0 [mozilla.org]ディレクトリのが1.0.1だと思います。
余談ですがNew Tabボタンとか1.1系のUIもちょこっと入ってるのでよさげですよ。
漏曳(オフトピ) (スコア:0)