パスワードを忘れた? アカウント作成
7050 story

IEにURLを偽装できる脆弱性 91

ストーリー by yoosee
偽称専用ツール 部門より

ex曰く、"デンマークのセキュリティ企業Secunia社により、IEにURLを偽装できる、パッチ未公開の脆弱性が発見された。情報としては、セキュリティホールmemoの2003年12月11日の情報がよくまとまっているだろうか。

当初は、JavaScriptを無効にすれば当面の対応ができるとされたが、実はHTMLに直接コードを書くことにより、JavaScript無効の環境でも、誰でも簡単に偽装ができてしまう。しかも、ステータスバーやプロパティにも本来の情報が表示されなくなる書き方も発見された。
マイクロソフトは、この脆弱性を「緊急度が低いもの」としており、12月の月例アップデートではパッチをリリースしないことを表明。パッチの完成度を高めてから発表するとの事。さらに、「今後は、配布スケジュールを現在の1カ月に1度から3カ月ごと、もしくは半年ごとに変更することも考えている」という。(Internetwatchの記事)
マイクロソフトのHotfixが基本的に月例アップデートになってから数ヶ月だが、このような形で対処が遅れていく事に、個人的には不安感を感じている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • このセキュリティホールの危険なところは、 アドレスバーに表示されたURLと 実際にアクセスしたサイトとが異なっていても SSLの「鍵マーク」が表示されることにあると私は考えます。

    この脆弱性によって、 初心者が素朴に「鍵マーク」がついているから安全と考えて、 偽のサイトに対してクレジットカード番号や個人情報などの重要な情報を送信してしまうという ケースが考えられます。

    たしかに、技術的な観点から見れば、 アドレスバーの表示が偽造できるというセキュリティホールは、 リモートからマシンがコントロール可能になるといったたぐいの セキュリティホールと比べて、重要度は低いかもしれません。

    しかし、そのセキュリティホールが前述したような犯罪に利用される可能性がある以上、 その重要度は技術的な脆弱性と比較しても決して劣るものではありません。

    ウェブブラウザ市場をマイクロソフトが事実上、独占していることを考えると、 セキュリティホールの修正に対するマイクロソフトの社会的責任は大きいといえます。 マイクロソフトは脆弱性の評価を技術的な観点のみでおこなうのではなく、 その社会的な影響を考慮したうえで評価すべきですし、 またそうしたセキュリティの修正は迅速に行なう責務があるはずです。

    • このセキュリティホールの危険なところは、リンクをポイントしたときに、 JavaScriptを無効にしていてもステータスバーに表示されるURLと実際にアク セスするサイトが異なるように偽造することができるという点にあると私は考 えます。

      この脆弱性によって、初心者が「入口はこちら」をクリックしようとしたとき に、ステータスバーに表示されるURLを判断基準として利用することができな くなります。

      その結果、このセキュリティホールを利用した悪意のあるサイト開設者が、有 用な情報提供をすることなしに、広告収入を得ることが可能になります。

      ウェブブラウザ市場をマイクロソフトが事実上、独占していることを(以下省略)

      親コメント
    • Microsoft はこれまで、受動的攻撃で cookie を盗まれる脆弱性を「緊急」とランクしていました。それは、ウェブアプリをセッションハイジャックされる危険を想定してのことでしょう。

      であれば、今回の脆弱性も、受動的攻撃でパスワードを盗まれ得るものなのですから、緊急とするのが慣例ではないでしょうか。

      • 日本のマイクロソフトの東貴彦氏が「まだ攻撃コード(exploit code)が発見されていないことから緊急度は低く」と述べたそうですがが、この東貴彦という人は文系の人ですか? バッファオーバーフローじゃないっての。exploit code の意味わかってる?

        理系?で聡明な貴方に教えていただきたいのですけど、exploit code はバッファー・オーバー・フローを利用したものに限定されるのですか?

        exploit code は

        • 理系?で聡明な貴方に教えていただきたいのですけど、exploit code はバッファー・オーバー・フローを利用したものに限定されるのですか?

          元コメント [srad.jp]の方は、

          “バッファオーバーフロー(をはじめとしたバイナリ形式で攻撃コードが動作する、デモプログラムの公開=攻撃コードの公開とならない脆弱性)じゃないっての。
          exploit code は既に出ていますよね。
          セキュリティmemo [ryukoku.ac.jp]からリンクが張られていますが、デモページ、デモコードって一種のexploit codeですよね。
          ということなんだが、この東貴彦という人はexploit code の意味わかってる?”

          と言いたいのでは。
          違います?
          (まあ悪意がある物、改変が容易に可能な物に限らず、ソースが公開されていないデモプログラムもそりゃ確かに"exploit code"なのだが……)
          親コメント
  • Mozilla でも発生 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年12月12日 10時39分 (#453045)
    Mozilla でも発生しているという事で既に報告 [mozilla.gr.jp]されています。
  • IEの脆弱性と言うことで、先日それっぽいのを見つけましたので、日記 [srad.jp]に書いてみました。
    (既知なのかどうか調べる気もおきず、ひっそりと)
  • by druaga (13366) on 2003年12月12日 12時26分 (#453122) 日記
    これこそバグっていうより裏技って感じがするんですけどね。
  • 何をいまさら。。。と思いましたが(汗

    PC うおっち 2003年版 [impress.co.jp] PC うおっち 2002年版 [impress.co.jp]
    PC うおっち 2001年版 [impress.co.jp] PC うおっち 2000年版 [impress.co.jp]

    なお、PC うおっち 1999年版 [impress.co.jp]以前は偽装工作はしてないみたいです。
  • by highness (849) on 2003年12月12日 17時22分 (#453405) ホームページ 日記
    M.Kamada氏の日記 [nifty.com]で、アドレス確認ボタンが公開されてます。
    実際に表示されているURIをポップアップで表示するものみたいですね。
  • Referer偽造 (スコア:2, 参考になる)

    by gogler (17154) on 2003年12月12日 17時29分 (#453411)
    リクエストヘッダのRefererを偽造できますね。

    今時Refererの先頭文字列が自分のドメインだからどんな
    リクエストも受け付けるってなサーバーサイドプログラム
    はないよね?ね?
  • by ex (1307) on 2003年12月12日 10時37分 (#453043) ホームページ 日記
    すいません。
    「艤装」じゃなくて「偽装」です。
    _| ̄|○
  • 不安を感じている? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年12月12日 12時16分 (#453108)
    「不安感を感じている」という言い回しに、個人的には違和感を感じている。
  • by Anonymous Coward on 2003年12月12日 16時06分 (#453335)
    IE では HTML の META要素における http-equiv="Refresh" でも偽装できますね。

    content="0;URL=http://www.yahoo.com@www.yahho.com/"

    だとアドレス欄には http://www.yahoo.com と表示されるのに
    実際には www.yahho.com にアクセスしてる。

    ユーザの URLタイプミスと絡めるとなんかストーリーが出来そう。
  • 偽Google (スコア:1, 興味深い)

    by Anonymous Coward on 2003年12月14日 23時55分 (#454735)
    早速、偽Google [tok2.com]なる実証ページがあります。
  • by Anonymous Coward on 2003年12月12日 10時35分 (#453039)
    まともなサポートするようになったと認識して安心していたので(エンドユーザとしての感じ方)
    >>「今後は、配布スケジュールを現在の1カ月に1度から3カ月ごと、もしくは半年ごとに変更することも考えている」

    再び放置プレイに戻りそうなこと言われると困るんだけどなぁ。
    • Re:月例化した結果 (スコア:2, おもしろおかしい)

      by shivandragon (10040) on 2003年12月12日 10時46分 (#453049)
      1.基本的にはセキュリティなんたらパッケージで出すけど、緊急ものはそのつど出す。

      2.だんだん緊急が多くなって、週刊化

      3.頻度に苦情が多くなってまとめる方向に

      4.1にもどる。
      親コメント
    • 気の持ちよう (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年12月12日 10時42分 (#453047)
      1月放置されるのも、3月放置されるのも、 放置されるのには変わりない。
      親コメント
    • Mozilla [mozilla.org]もOpera [opera.com]も駄目なら、第三のブラウザに乗り換えるしかないかも知れません。
      個人的にはKDE [kde.org]デスクトップ向けのブラウザKonquerorもしくはSafariをWindowsにも移植して欲しいです。
      --
      Super Souya
      親コメント
    • by Anonymous Coward
      半期版 Windows Update となった暁には更新データが
      巨大になってしまい、発行時には企業のネットワーク
      回線がパンクするでしょう。 家庭ユーザもそれなりに
      大変でしょうね。

      で、「ネットワーク帯域を圧迫しないようCDによる配布を
      行う」という計画が立ち上がり「それってサービスパックと
      なにが違うの?」という話に...
      • by cudjo (2713) on 2003年12月12日 11時15分 (#453063)
        サービスパックという形で提供されるより、明確にバージョン表示
        してもらった方がありがたい気がする。そうしたら、
        「Windows XP Ver.3.11 か。そろそろ安定した頃だから採用しようか」
        とかいう判断もできるのに。
        親コメント
      • by itoshikazu (15602) on 2003年12月12日 17時48分 (#453430)
        で、「ネットワーク帯域を圧迫しないようCDによる配布を
        行う」という計画が立ち上がり「それってサービスパックと
        なにが違うの?」という話に...

        っていうか、Windows XPが発売された頃には、「これからは3カ月毎にサービスパックを出します」と言ってたような。

        情報ソースは忘れたけど

        親コメント
    • by Anonymous Coward
      月例化しても まだブラスター系のウイルスも減ってない [mainichi.co.jp]んだよね。
    • by Anonymous Coward
      アップデートは前より酷いですね。
      1週間待てばなんらかの報告が会ったのに
      最近のはアップデータのバグ修正が1ヶ月後に判明して出すってのはちょっとなめすぎ

      #CDの交換サービスを行った方がいい気がする。
      #インストールし直してもてもパッチしなくて済むので、それがバグってたら終わりですけど
    • by Anonymous Coward
      まともなサポートをする気がないから月例化した訳で...
      緊急に必要と思われるパッチを1ケ月以上先に出されてもねぇ...
      ウィルスやワーム等が流行った後ですって話になる(苦笑)
  • by Anonymous Coward on 2003年12月12日 10時36分 (#453040)
    > IEにURLを艤装できる脆弱性
    >
    > ex曰く、"デンマークのセキュリティ企業Secunia社により、
    > IEにURLを艤装できる、パッチ未公開の脆弱性が発見された。

    難しい漢字なので調べてみました

    ぎそう
    (名)スル
    船体が完成して進水した船に就航に必要な装備を施すこと。また、その装備。船装。
  • by Anonymous Coward on 2003年12月12日 12時57分 (#453152)
    サービスパックなんて、ほとんどシステムの総入れ替えみたいな感じだし、きっとアップデートもウィルスデータベースみたいに更新が有料化するのではないかと、疑ってみる。
    • 別にRedHatの後を追わなくても良い程度には儲かっていますから、しないと思いますよ。

      疑うのは自由ですがね。
    • 有料化したら質が下がると思うよ。

      興味本意で始めたユーザーなんて「使ってないのに金払うのは勿体ない」で
      雑に扱われ次第にその程度のOSに成り下がってしまう
      結局壊れるまで一度もアップデートされない状態で壊れたら即捨てられるでしょう。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...