パスワードを忘れた? アカウント作成
3491 story

Mozillaに任意ドメインのCookieが漏曳するセキュリティホール 32

ストーリー by Oliver
Gecko使用アプリでの設定方法は? 部門より

k3c 曰く、 "BugTraqへの投稿によれば、Mozillaで javascript://[host]/[path]\n[code to read cookie] というjavascriptを呼び出すことにより、任意のドメインのcookieを参照することができてしまう。つまり、罠が仕掛けられたWebページにアクセスするだけで、任意のドメインのcookieを盗まれてしまう。
Mozillaの0.9.2~1.1AlphaまでとNetscape6.0~6.2.2までがこの脆弱性を含んでいるが、編集メニューから 設定→詳細→スクリプト&ウインドウ→cookieを読む をoffにすることで回避できる。なお、先日リリースされたMozilla 1.1 Betaではこの問題は既に修正済みとのこと。
この投稿にはexploitも提示されており、試したところ確かにgoogle.comのcookieが表示された。これはかなりヤバい穴なのできちんと設定変更して回避すべし。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Gecko使用アプリでの設定方法は? 部門より.
    SecurityFocus の exploit を実装したページを作り、Mac OS X 用 Chimera 0.4.0 [srad.jp] でテストしてみたところばっちり Google の cookie が抜かれました。

    そこで /Users/(ユーザ名)/Library/Application Support/Chimera/Profiles/(プロファイル名)/(ランダム8文字).slt/prefs.js をテキストエディタ (わたしの場合は Emacs) で編集、
    user_pref("dom.disable_cookie_get", true);
    を追加して再びテストし、抜かれなくなったことを確認しました。

    というわけで他の Gecko 使用アプリについても似たりよったりの状況ではないかと思われます。
  • by oltio (3848) on 2002年07月27日 1時56分 (#133850) 日記
    「~をoffにする事で回避できる」

    この種の対策で思うのは、設定をそのようにするとどんな不利益を被るのか、 という事です。できればそうした情報も欲しい。もし不利益がまったく無いのだとしたら、 いったいなんでそんな設定項目があるのか?という疑問もある。

    • デフォルトではCookieは「受け入れる」になっているでしょうが、
      これは「受け入れない」に変更しておくべきでしょう。
      それで不都合はほとんどありません。不都合は、
       変にこったサイトは見れない → 見なけりゃいい
       ショッピングとかできない → しない
       スラドに簡単ログインできない → スラドは見ない(笑)
      くらいです。

      で、それで都合が悪ければ、必要なURLだけ信頼済みサイトに
      指定して、クッキーを受け入れればいいだけでしょう。

      とにかく今すぐ、受け入れたクッキーは消去し、整理したほうが
      いいでしょう。
      親コメント
      • by volvox (6843) on 2002年07月27日 3時07分 (#133869)

        で、それで都合が悪ければ、必要なURLだけ信頼済みサイトに 指定して、クッキーを受け入れればいいだけでしょう。
        今問題になっているのは、その受け入れ済みのクッキーを抜かれるという話です。
        またoltioさんは、今回の事に限らず、この種の対策の情報の出し方について問題にしているのでしょう。 今回の事についてはmozillaのhelpを参照すると
        cookie を読む:JavaScript を利用して cookie を読むことができるようにします。
        となっていますので、クッキーを使ってJavaScriptの挙動をコントロールするようなサイトを見るのに支障をきたすのでしょう。
        しかしこう言ったところで、実際それはどの様に不都合なのか良く分かりません。「JavaScriptをoffにすると、JavaScriptを使ったサイトを見るのに支障をきたします」と言ったところでそれがどの様に不都合なのかは分りません。分るためには「JavaScriptを使うと何が便利なのか」を知る必要があります。ただ私はそこまでの情報を、この種の対策の情報に含めるべきだとは思いません。

        親コメント
    • もし不利益がまったく無いのだとしたら、いったいなんでそんな設定項目があるのか?という疑問もある。

      影響は必ずしも不利益とは限らないのでは?無駄なものが動かなくなってすっきりするとかは利益かもしれませんし、何が利益で何が不利益なのかは立場や好みによって変わると思います。

      なので、その設定が何を意味するのかが分っていればよいのではないでしょうか?今回のはそのまま「JavaScriptでクッキーを読む」という設定なのであまり説明は必要ないかも。

      親コメント
  • 前にあった IE の about://[domain]/<script>... と似てるなぁ。そんなとこまで真似なくても,と思ってしまう。
    • IEは0.9.2あたりのソースを見て作ったとか?
      先にIEでそのバグが見つかったとか?
      いろいろ邪推してしまうね。
      親コメント
      • by Anonymous Coward
        もじらコミュニティは、マイクロソフトよりバグ発見/バグ取り能力が低い事が発覚いたしました。
        • by Anonymous Coward
          あなたが手伝うと改善されるかもしれません。
          • by Anonymous Coward
            別にこのACさんが優秀と自慢しているわけではないのですから、
            手伝わせるだけ無駄だと思います。

            また、本当に指摘どおりマイクロソフトより劣っていても現実の品はマイクロソフト製よりはましなので今のところは困ることは無いでしょう。
            • by Anonymous Coward
              いやほら、そのバグを検証できるテストケースが
              ある場合は少なくともマイクロソフトのブラウザで
              見つかったバグが Mozilla にも存在するかくらいは
              彼にも出来るだろうから。

              それすらできないような奴に「能力が低い」なんて
              言われたくないしね。
    • by Anonymous Coward
      リンクが皆"c:\"とかから始まってるページがたまに有るよね。
      悪意が無いのはわかるんだけど、どきっとする。

      あ、全然違う話でしたね。
      • by tomatsu (2545) on 2002年07月27日 4時52分 (#133881)
        "a:\"で始まっていて、アクセスするとフロッピーがガガガッと動き出すページもありました・・・。
        親コメント
        • "a:\"で始まっていて、アクセスするとフロッピーがガガガッ

          そいや、むかしのgopherサーバで/dev/ttyへアクセスできてしまって、ハングアップしちゃうという有名なバグがありましたな。まだhttpよりgopherの方がメジャーだった牧歌的な時代でしたが。

          なぜ人は過去から学ぼうとしないんでしょーな……。

          • > なぜ人は過去から学ぼうとしないんでしょーな……。

            いえ、むしろ過去から学ばないのではなく、過去を知らない人たちがそういうどきっとするようなソースを書くのでしょう。
            確かビルダーとかの機能で作業ドライブとは別ドライブのファイルに対してリンクを貼る→a:\,c:\配下のファイルとかにするとそういうことになったかと思います。

            せめて自分が作っているものの流れくらいは理解して作って欲しいものですね・・・。
            親コメント
  • by gy0 (3393) on 2002年07月27日 10時56分 (#133940) 日記
    Netscape6.2.3には影響しないっていうのが救いやろうな。
    #むしろ脆弱性の存在は分かってて伏せたまま6.2.3で修正したのかな。

    #未だに1.0rc3を使ってる俺って一体(Windowsのみ、だけど)
    --
    gy0
    • by ryoryoryo (5621) on 2002年07月27日 16時20分 (#134047) ホームページ 日記
      Mozilla 0.9.4.1 ベースであることからもリリース時期からも Netscape 6.2.3 に影響しないというのは考えにくいため、Windows 版の Netscape 6.2.3 でテストしてみたところ、影響しました。
      こちら [srad.jp]でも書きましたが影響があるというアナウンスがないから即安全と判断するのは危険だと思います。

      なお、ものはついでなので K-Meleon [sourceforge.net] 0.6 、GLU [zawameki.net] 0.16 (with Mozilla 1.0) 、和ジラ [osdn.jp] 1.0c/Win でもテストし、いずれも再現することを確認しております。
      親コメント
      • Windows 版の Netscape 6.2.3 でテストしてみたところ、影響しました。
        そうでしたか。ガセネタ撒いてすみませんでした。
        --
        gy0
        親コメント
      • WINのMozilla6.2.3使ってるのですが、
        上の対処法のメニューが無い!どうすれば…
        • WINのMozilla6.2.3使ってるのですが、
          上の対処法のメニューが無い!どうすれば…
           (Mozilla ではなく Netscape だと思いますが) いま試してみましたが、ほんとですね。おそらく Netscape (というか AOL Time Warner) 自身が JavaScript を利用したポップアップ広告を使用していることもあって、ポップアップ広告を抑制するためにも使われる JavaScript の動作制御関係を殺してしまっているんでしょう。

           機能ごと殺されているようで prefs.js に直接 dom.disable_cookie_get を指定しても効果がないため、可能な対応としては
          • 編集メニューから設定→詳細で「Navigator で JavaScript を有効にする」のチェックを外し、すべての JavaScript を止めてしまう
          • prefs.js を編集し、こちら [mozilla.gr.jp]で無津呂さんが紹介されている手順でサイト単位に JavaScript の実行許可を設定する
          といったものしかないかと思われます。
           前者はすべての JavaScript が止まるため安全といえば安全ですが、有益な JavaScript も動かなくなるため必要に応じて JavaScript を実行可能に設定し、必要がなくなったら再び実行不可能に設定し直す必要があります。
           後者は JavaScript の実行を許可したいサイトだけを許可サイトとして登録しておくことでそれ以外のサイトで JavaScript を実行することを抑制しつつ必要なサイトで JavaScript を実行させることが可能になりますが、prefs.js を書き換えなければいけないこと、書き換えるたびに Netscape 6 の再起動が必要 (ですよね?) なこと、サイト単位での許可/禁止なのであるサイトを許可すると同一サイトで危険なスクリプトがあった場合無防備になってしまうことが問題となるのではないでしょうか。
          親コメント
  • by Anonymous Coward on 2002年07月29日 11時52分 (#135049)
    タレコミにあるような設定で JavaScript を停止すると
    一部のサイトで正しくアクセスできなくなるそうで、
    その対策がもじら組掲示板に出てました。

    http://www.mozilla.gr.jp/tools/cbbs/cbbs.cgi?mode=one&namber=2275&type... [mozilla.gr.jp]
  • by Anonymous Coward on 2002年07月27日 1時32分 (#133840)

    本件については Bugzilla にも、 Bug 159152 - Javascript can steal cookies from other domains [mozilla.org] で登録されており、 Bug 152725 - Possible cookie stealing using javascript: URLs [mozilla.org] と同件(duplicate)として修正が確認(verified)されています。

    あとは、早いとこ Mozilla 1.0 の修正版が出てくれればなあ。 (Mozilla 1.1 Beta は未だ不安定なので。)

    • Re:Bugzilla 情報 (スコア:2, 参考になる)

      by kotastyle (5864) on 2002年07月27日 2時01分 (#133851) ホームページ
      1.0の系統である1.0.1のNightlyではFixされているようです。
      Win版の1.0.1 20020722で確認してみたところ、アラートに何も表示されませんでした。
      latest-1.0 [mozilla.org]ディレクトリのが1.0.1だと思います。

      余談ですがNew Tabボタンとか1.1系のUIもちょこっと入ってるのでよさげですよ。
      親コメント
  • by Anonymous Coward on 2002年07月28日 9時52分 (#134331)
    私の使っている辞書には「漏洩」しか載っていませんでした。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...