パスワードを忘れた? アカウント作成
8652 story

未対策・未発表な多数の国内産脆弱 94

ストーリー by Oliver
なくならないXSS 部門より

jbeef曰く、"「セキュリティーホール調査」と題する日本語で記述されたWebサイトに、多数の脆弱性情報が公開されている。いくつかは「パッチ/対策済み」とされているが、半分以上が「未対策」とされている。「私が発見した」と書かれており、BUGTRAQ等には投稿されていないことから、「未発表」な「国内産」の脆弱性情報であると言える。各ページには「概要」「影響を受ける環境」「方法」「危険性」「対策法」が記述されているが、ベンダーの対応状況は書かれておらず、ベンダーへの通知なしに暴露されたものかもしれない。
公開されているものには、IE、Windows Media、Real Player、Winamp、Microsoft Word、PowerPoint、Googleツールバーに関するものの他、DonutPやSleipnir、Lunascapeなど、国産の「タブブラウザ」に関する脆弱性がある。さらには、Webサイトの脆弱性として、国内のメジャーサイトのクロスサイトスクリプティング脆弱性が多数(Yahoo! Japan、MSN、Infoseek、goo、NAVER、livedoor、楽天、はてな、excite、Doblog、2log、amazon.co.jp、UFJ銀行、ジャパンネット銀行、Bidders等)と、Hotmailとgooフリーメールの脆弱性が公開されている。
このページがいつから公開されていたかは不明であるが、"www2.sala.or.jp/~uuu/security/"で検索してみると、今年5月下旬からローカルな掲示板等では既に話題になっていたことが観察される。この人物は、かつて、2001年にも同様の情報を公開していたことがあった。セキュリティホールmemo 2001年12月25日付の「知能力学研究所」の部分にその記録がある。archive.orgの記録によると、当時「セキュリティー情報(ネット海賊ネコネコ団)」と題して公開していたが、後に「準備中」という表示になって閉鎖されていた経緯がある。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Inetpub (20077) on 2004年07月29日 15時57分 (#597802)
    Kids! Don't try this at home.
  • by SaySet (18192) on 2004年07月29日 19時10分 (#597923) 日記
    結構多い気がしますね。

    全部チェックしたわけじゃないですが、問題のサイトでは「未対応」となっているけど、実際には対応済みというところも結構あるようです。
  • mozilla (スコア:2, 参考になる)

    by ruto (17678) on 2004年07月29日 21時52分 (#598005) 日記
    MozillaではCSSで背景画像のURIにjavasriptを指定するタイプの脆弱性は使えないようです。
    • by stwo (9482) on 2004年07月30日 11時23分 (#598256)
      >MozillaではCSSで背景画像のURIにjavasriptを指定するタイプの脆弱性は使えないようです。

      朗報!と思いまして脊髄反射で手元で試験しました。最新版のFirefoxで検査しましたが、以下のことが判明しております。
      formのinput要素のスタイル指定で背景画像のURIにjavascriptを指定すると作動いたしました。location.replace関数で見事にgoogle.comに飛んでいきました。

      スラドのXSS対策が効いて全角がまざったりしますが検証したコードを書いておきます。urlの中の”は実際には文字参照してください。ここで文字参照書いても駄目みたいなので。

      [input type="text" style="background-image:url('javascript:location.replace("http://www.google.com")')"]
      --
      | 慈愛こそ慈愛
      親コメント
      • もう少し詳しく調べてみたところGecko DOM Reference [mozilla.org]にあるプロパティの内
        document.location
        document.close
        document.open
        window.location
        window.closed
        window.Components
        window.document
        window.frames
        window.history.back
        window.history.forward
        window.history.go
        window.parent
        window.self
        window.top
        window.window
        window.blur
        window.close
        window.escape
        window.focus
        window.unescape
        にはアクセスでき、それ以外のプロパティや存在しないプロパティにアクセスしようとすると
        Error: uncaught exception: Permission denied to get property Window.onabort
        のようなエラーが出ます。
        window.close()を行うと
        Scripts may not close windows that were not opened by script.
        とエラーが出ます。

        ほとんどは無害なものですが、document.open()をLinux上のFireFox0.8で行ったところクラッシュしました。
        また、window.history.go(0)を行うと無限にリロードを繰り返します。Escで止められます。

        見落しやタイプミスはあるかもしれませんし、ソースを見ていないのではっきりしたことは分りません。より新しい版では違うかもしれません。
        親コメント
        • なるほど、普通にcookieを操作しようとすると uncaught exception になるのですね。しかしながら以下のようなURLを背景画像に設定するとcookieをalertします。なお、ローカルでもTESTしやすいようにあらかじめcookieに値をSETしてからとしました。私はサーバ上では検証していません。

          javascript:(function image(){document.cookie=location.href;alert(document.cookie)})()

          要は、勝手に作った関数の中に放りこんでしまえば uncaught exception にはならないということです。これが意図した仕様かどうかは不明です。背景画像にjavascriptを設定出来ると発生する(cookieを盗むという意味の狭い定義の)XSS脆弱性はMozillaでも他のブラウザ同様ではないでしょうか。また、XSS脆弱性はcookieを盗む以外でも多種多様な手が考えられますが関数を呼び出せば恐らくそちらも同様に可能でしょう。
          |
          |
          --
          | 慈愛こそ慈愛
          親コメント
  • 公開の必要性 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年07月29日 15時54分 (#597799)
    Hotmailの脆弱性なんて物凄く手軽に利用できそうなんだけれども、
    ベンダーへの通知より先に公開してしまうことにはどんなメリットがあるんだろう?
    一般ユーザのセキュリティ意識を高める?リスキーすぎると思うけどなぁ。
    • 「ほにゃららの幇助罪」ってことでサイト開設者は
      逮捕されちゃったりしないんでしょうか?
      --
      And now for something completely different...
      親コメント
      • by Anonymous Coward
        どこぞのアナーキスト気取りな馬鹿みたいに、「これらを使って体制を打破」とか言いだせば、即捕まるんでしょうなぁ。
    • by Anonymous Coward
      > ベンダーへの通知より先に公開してしまうこと

      決め付けちゃいけませんよ、*同時*かもしれないでしょう。
      それはともかく、「未発表」の脆弱性というのはなんだかなあ、
      少なくともこの人は自分のサイトで「発表」してるんじゃないの?

      # もちろん、より適切な場所が他にあるのは否定しません。
      • by Anonymous Coward
        いや、ベンダーになんか知らせなくていい。 これぞ正しい脆弱性の公開方法だ。exploitも満載で大満足だね。 もっとどんどん大勢の目に触れる所にリンクを貼りまくれ。
        • by tamago915 (19926) on 2004年07月29日 18時25分 (#597904) 日記
          こんなのに釣られてはいけないのかもしれないが……。

          >これぞ正しい脆弱性の公開方法だ。

          そうする目的、というか、あなたの考えている理想のネット社会のあり方はどのようなものなの?
          親コメント
          • Re:公開の必要性 (スコア:2, すばらしい洞察)

            by alp (1425) on 2004年07月29日 18時44分 (#597913) ホームページ 日記
            最初の AC ではないけど、すくなくとも、他人が善意を持つことを強制しない社会。

            #ベンダに通告することに報告者に何のメリットもない上、業務妨害等恫喝される可能性すらある以上、私もこれが正しい脆弱性の公開方法だと思いますね。

            親コメント
            • Re:公開の必要性 (スコア:2, すばらしい洞察)

              by az77 (11230) on 2004年07月29日 20時48分 (#597969)
              この公開方法で、公開した脆弱性の情報に間違いがあった場合、信用毀損の業務妨害で、
              (恫喝ではなく)実際に訴えられる可能性があると思えるんですが。

              ベンダへの通告に報告者にメリットがないのは同感です。
              ただ、私にはベンダに報告しないリスク(デメリット)の方が大きい様に思えます。

              # 間違いがなくても訴えられるリスクは考えた方が良い気がしますけど。
              親コメント
              • by Anonymous Coward on 2004年07月29日 22時53分 (#598040)
                ノーリスクにするためには、
                見つけても黙ってるか、
                情報をWinnyみたいなもので流すことで発信者の特定を逃れるか、
                どっちかしかないってことですね
                親コメント
              • :信用毀損の業務妨害で(恫喝ではなく)実際に訴えられる可能性があると思えるんですが。

                これは事実ですけど、そのための匿名。間違いがなくとも訴えられるのは、すでに事例としてあるわけですから、間違いを気にすることにほとんど意味はありません。一方、ベンダの利害は関知しなくとも、その利用者に対して当該ベンダの脆弱性情報は参考になりますし、実際の PoF を合わせて公開すれば確認も出来る (その際に不正アクセスにならないようにしなければならないですし、法治国家とは縁も縁もない日本の場合それがかなり難しいのは確かですけど)。そういう意味で、匿名の場で情報の交換が出来るのは、現在の状況からするととても好ましいことに感じます。少なくともまるで信用の出来ない IPA や JPCERT を頼るよりは遙かにましでしょう。

                親コメント
              • by az77 (11230) on 2004年07月30日 19時46分 (#598518)
                >これは事実ですけど、そのための匿名。

                # ちょっと話の繋がりが見えませんが、今回のHPって匿名なんでしょうか?
                # まあ、実名表記はなさそうですけど。その程度の匿名だと訴訟対策としては、意味はないと思いますが。

                閑話休題。

                匿名によるリスクの低減というのは否定はしませんし、匿名の場で情報の交換の場があっても
                良いと思います。

                が、匿名の推奨というのはまんま(#597913) のご自身の意見を否定している気がしますが。
                匿名では本人の自己満足以上のメリットはないですし、メリットがない以上、当人の善意
                をあてにしないと成り立ちません。

                まあ、情報交換の場には同好の士が集まるでしょうから趣味としては満足出来るのがメリット
                といえばメリットなんでしょうけど。いずれにせよ、それだと趣味の域を出ないと思います。
                それが大きな信用を得るには、より多くの善意の積み重ねが必要だと思いますよ。
                親コメント
    • by Anonymous Coward
      >ベンダーへの通知より先に公開してしまうことにはどんなメリットがあるんだろう?

      危険性がわかればそのサービスを使わないという事で、ベンダーの対処以前に安全になれる。
  • IPAとか経済産業省で脆弱性報告を届出・公表を
    制度化しようとしているところですが、
    まだ現実的になってないですね.
    経産省のソフトウェア脆弱性報告基準が施行、運用が始まる [srad.jp]
    IPAが脆弱性の通報・告知・公開の体制作りを提言 [srad.jp]
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
  • タレコミ人です。同じタレコミを修正して2度目を出したんですが、修正内容をタイトルの冒頭に注釈で入れていたところ、長くなりすぎて後ろが切れてしまったようです。タイトルは以下のつもりでした。

    未対策・未発表な多数の国内産脆弱性情報が暴露
  • by Anonymous Coward on 2004年07月29日 15時54分 (#597798)
    このサイトの管理者の連絡先がyahooのアドレスになっていることや、「仮設」となっていることなど、いまひとつ信用がおけないように見えますが。
  • by Anonymous Coward on 2004年07月29日 16時34分 (#597825)
    ちょっとローカルで実験してみたところ
    見事に使えるものがいっぱいありますな。
    その方面の人にとっては既知の事なのかも
    しれませんけど。
    • Re:まずいね (スコア:2, 参考になる)

      by Anonymous Coward on 2004年07月29日 16時48分 (#597834)
      圧縮ファイルを解凍しただけで、ってかなりやばいな・・・
      親コメント
      • by kjm (1606) on 2004年07月29日 20時18分 (#597955) ホームページ
        まっちゃさんちに Hiki なページ [matcha139.org]を立てさせて頂きましたので、お使いのアーカイバものを試してみたら、書き込んで下さいな。
        親コメント
      • Re:まずいね (スコア:2, すばらしい洞察)

        by JnJ (23012) on 2004年07月29日 17時07分 (#597847) ホームページ
        上位ディレクトリに展開できないようにしないといけないですよねぇ

        たまにC:\とかフルパス指定で展開されて
        どこに展開されたのかよくわからなくなることがあります。
        これも脆弱性の一つなのかな?
        --
        LAN内LAN稼働中
        親コメント
      • そういえば昔使った技ですね。
        「このコマンド打つとここにうんちゃら」とか教えるのが面倒だから、中身をa:\にして(@PC98)。
        海外のzipファイルを持ってきたら、c:\に固定されていて困った記憶もあります。

        そうか…こういう悪用方法もあるのか…まずいな。
        親コメント
      • by Inetpub (20077) on 2004年07月29日 17時56分 (#597887)
        Windows98に乗り換えるか、異国語版のWindowsにすれば大丈夫だよ!
        親コメント
        • Re:まずいね (スコア:2, 参考になる)

          by Teruching (3577) on 2004年07月29日 18時44分 (#597911) ホームページ
          2kやXPだとAllUsersがあるので、異国語版でも大丈夫ではないですね。
          9xだとAllUsersみたいなのが環境によってあったりなかったりだった気もしますが、
          上書き警告をOFFにしてたら、autoexec.batを上書きしてしまえばとか有りますね。
          --
          天琉陳(Teruching)
          親コメント
        • by Anonymous Coward
          はて、NECのあれでも、MS-DOSにパッチを当てればFDDをA:とB:に固定して起動HDDはC:で使えたはずだが…
          • Re:まずいね (スコア:2, 参考になる)

            by penchium (4279) on 2004年07月30日 1時28分 (#598125) ホームページ
            PC-98x1でHDDの最初のパーティションをCドライブにする方法です。

            ・Windows95→「SETUP /AT」でOSをセットアップする。
            ・Windows98→HDDをフォーマットした後、「SYS /AT」でシステム転送する。
             その後普通にセットアップ。
            ・Windows2000→普通にセットアップするだけでC:ドライブ(またはそれ以降)になる。
             #むしろ、Aドライブセットアップするほうが苦労します(NT4からアップグレードしかない)

            >MS-DOSにパッチを当てれば
            PATCH IO [vector.co.jp]ですな。
            親コメント
      • Re:まずいね (スコア:1, 興味深い)

        by Anonymous Coward on 2004年07月29日 21時29分 (#597990)
        これは前から知ってたな。ソフト作っている時にこれは気付いた。

        妙なパスのZip作ってそれをダブルクリックして
        XP標準機能のフォルダ的表示機能で見たらなんだか
        妙な事になるから、この辺にも何か穴がありそうだなとか。
        親コメント
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...