IE6/SP2に致命的な3つの脆弱性 149
ストーリー by GetSet
深刻度高し 部門より
深刻度高し 部門より
antiunity 曰く、 "本家/.の記事より。Secuniaによると、IE6/SP2に三つの脆弱性が発見されたとのこと。ActiveX Data Object (ADO)を通じてのセキュリティバイパスと、
クロスサイトスクリプティング、それにシステムアクセスが行われる。これによってSystem32にアクセスできるので、*.dllを消すなんてこともできる。
今のところ対策としては、ブラウザを乗り換えるしかないようだ。タレコミ人がIE6とSleipnirで実際に試したところ、本当にcmd.exeを実行されたので驚愕している。"
回避方法 (スコア:3, 参考になる)
タレコミのリンク先の一つにもあります [secunia.com]が、インターネット設定の変更でも回避可能だそうです。自分では怖くて試せていませんが……。
以下当該部分のみ引用:
試してみた。 (スコア:1, 参考になる)
JavaScriptとActiveXの使用をONにしないと単にエラーが出るだけ。
これまでの脆弱性同様、IEを捨てなくても何とかなる程度かと。
Re:試してみた。 (スコア:2, すばらしい洞察)
社内システムの縛りとかでIEじゃないと動かない云々言っている人にとっては、「JavaScriptとActiveXを切る」も「ブラウザを乗り換える」も大差ないように思います。
で、私は、そんな縛りはないですし普段はIEを使っていません。
でも、IEを使うこともあって、それはIEでしか動作しないページを閲覧する場合です。「JavaScriptとActiveXを切る」をやってしまうと、結局IEでも動作しなくなってIEを使う意味が無くなります。
Re:試してみた。 (スコア:1, 参考になる)
だから仕方なくIE使い続けるしかないと思ってたんだが,最近久しぶり(?年ぶり)にwebの大幅更新やって,チェックのためにOperaやFirefoxをいじったらIEとの互換性が非常に良いのに驚いた. 良かれ悪しかれIEに合わせてwebデザインをするしかなくて,昔はそんなページをOperaやNetscapeで見ると体裁が崩れてしまってどうしようもなかったんだけど.
今のOperaやFirefoxの出来なら,安心してIEから乗り換えられるとと思う.
Re:試してみた。 (スコア:2, すばらしい洞察)
本当に信頼しているサイトでなければjavascriptがなくて動かなかったときに、諦めて閲覧を辞めるという確固とした態度で臨まなければ意味の無い設定だと思います。
IEじゃないと動かないページ(信頼済み以外も含めて)があるからっていう理由でIEを使うならゾーン分けは意味をなさないかと。
Re:試してみた。 (スコア:1)
俺はjavascriptが動くように「信頼済みサイト」を設定して、スプリクト必須なサイトを登録しているが、この様に使うものなのでは?
Re:Sleipnirなら (スコア:2, すばらしい洞察)
便利さとは別。
microsoftからの事前通知 (スコア:3, 参考になる)
この修正で直ってたらいいですけどね。
Re:microsoftからの事前通知 (スコア:2, 参考になる)
1:HHCtrlのRelated Topic脆弱性を突いて、
外部のスクリプトをローカル権限でHHCtrlに解釈させる
2:1のスクリプトがHHCtrl内のブラウザで実行される。
grayhat:ここで外部からダウンロードした別のスクリプトをADO経由でローカルに保存、スタートアップにhtaとして登録
secunia:HHCtrlの機能で外部コマンドを実行
grayhatのやり方が結構無理矢理なのが笑える。
・Text ODBC Driverで外部のスクリプトファイルをダウンロード
・結果セットをバイナリ形式でhtaとして保存
バイナリとはいえ内部のスクリプト部が可読な状態で保存されているので、
HTMLとしてはまるっきりinvalidでもmshta.exeが解釈してしまい、攻撃が成立する
いやあ力業だ。
完全に任意のファイルを打ち込めるわけではなさそうなので、
そこは安心した。(HTAを実行されたらアウトだが)
他にローカル保存に使えそうなものを試したが
・ADODB.Stream:インスタンス作成不可
・msxml:ローカル保存不可
・FileSystemObject:インスタンス作成時に警告が出る、nortonがブロックする(ブロック解除すれば動く)
まあこの辺は及第か。
IE6/SP2 ? (スコア:2, すばらしい洞察)
IE6 + WinXP SP2
... I see.
ちょっと分かりにくいんじゃありませぬか?>IE6/SP2
IE使っていません (スコア:1, おもしろおかしい)
Re:IE使っていません (スコア:2, 参考になる)
しょうがないんで、IEはproxyの設定を空にしてイントラ専用で使ってます。
インターネットへはFirefoxでノコノコ出かけて行ってるんですが、
社内掲示板に張られたリンクが社外サイトだったりすると
めんどくさくて見に行かなくなりました。
Re:IE使っていません (スコア:2, おもしろおかしい)
Copyright (c) 2001-2014 Parsley, All rights reserved.
ブラウザを変える? (スコア:1)
IEから他のブラウザに移る事は無いでしょうね。
そのような事に興味が無い人がほとんどと、他はいつもの事って
事で過去にそれほど重要な被害は無かったので安心しているかも。
極端な話「このままIEを使っていればが生死にかかわります」って
事があっても人は使い続けるのでしょうね。
Re:ブラウザを変える? (スコア:2, すばらしい洞察)
それは興味がある無しとは別のレイヤーの話だと思う
Re:ブラウザを変える? (スコア:2, すばらしい洞察)
使っていても、気がつきもしない可能性大。
#もちろん、そういう人はウィルスにもスパイウェアにも無頓着なんだろうなぁ
Re:ブラウザを変える? (スコア:1)
それを待っている間にその脆弱性にぶつかるようなことはほとんどないし,
ブラウザを変えるという動機には「一般的には」なりえないですね。
一般人には,機能と使いやすさと慣れの方が断然重要ですよ。
私はそのようなことには興味がある人だけれど,頭にちょっと留めておくだけ。
ただそれだけです。
Re:ブラウザを変える? (スコア:1, すばらしい洞察)
実際のところ「機能 使い易さ 性能」IEはどれをとっても優れているとは言えないと思います。かといって悪くもありません。
良くも悪くもない、すなわち「普通」といったところでしょうかね。
高性能 高機能かつ安全で高速なものを「あえて自分で探して自分で導入する」ような人はオタクだけだと思います。
言い方を変えると、Windowsユーザーのうち「IEを使うべきか移行すべきか」と考えているユーザーは十二分にヲタです。ライトユーザーはそんな事考えもしませんし、他の選択肢があるなんて思いもよらないというわけです。
Re:ブラウザを変える? (スコア:1, 興味深い)
http://azoz.org/archives/200412141216.php
乗り換えの危険性がね (スコア:1)
といえば、単にマイナーだから発見されていない、
悪意ある人もマイナーなソフトは相手にしない
というだけでしょう。
あまり問題の解決にならないような。
Re:悪意ある人もマイナーなソフトは相手にしない (スコア:3, 興味深い)
それにIE利用者にはセキュリティに無頓着なユーザーが圧倒的に多いですから,「悪用しがいがある」「成功する確率が高い」とくれば,今後もIEの脆弱性が研究されるでしょう。NOBAXさん,これからもIEのパッチあてに精を出してくださいませ(⌒~⌒)
# Mozilla使いだからID
Mozilla/5.0 (OS/2; U; Warp 4.5; ja-JP; rv:1.7.5) Gecko/20041220
Re:乗り換えの危険性がね (スコア:1)
もちろん完璧ではありませんけど。
「問題」とは、「ブラウザにバグがある」ことではなく、
「他者にコマンドを実行されてしまう」ことです。
Systemに含まれていることによる弊害 (スコア:1, すばらしい洞察)
# そもそも、たかがブラウザごときを
# systemと切り離せなくするあたりが(ry
@ytnobody
Re:Systemに含まれていることによる弊害 (スコア:2, おもしろおかしい)
IEはさらに自身のコンピュータにとどまらず、インターネット、すなわち全世界ともシームレスな接続を可能とするソフトウェアなのです。
それを支えるのがActiveX,ActiveScriptやDCOMといったネットワークアプリケーション、分散処理技術であり、これらの技術を更に強化した.NETにより、我々は全世界を統合した環境を得ることができるのです。
「我々はMSだ。抵抗は無意味だ。」
Re:Systemに含まれていることによる弊害 (スコア:1)
ただのブラウザとして認識してる人間のほうが多いとおもうけど。違うかな?
もっともおいらは、タダのブラウザとしての機能がほしいだけだから、それこそFirefoxとかw3m etc... を使うんだけどね。
@ytnobody
MozillaとFirefox、ダウンロード時のダイアログボック (スコア:1, 興味深い)
影響度が違うとは言え、特定の脆弱性情報だけを載せるのは、無理があるような。
まとめて記事にできると、良いのですがね。
Re:MozillaとFirefox、ダウンロード時のダイアログボ (スコア:2, 参考になる)
どしどしタレコミましょう。無いときは自分で、もアレゲ魂です。
で、この「MozillaとFirefox、ダウンロード時のダイアログボックスに脆弱性 [impress.co.jp]」、簡単に言えば、
というもので、うわー“ドメイン名の省略の仕方”なんてーのまで立派な脆弱性になるのかよWebアプリ開発の中の人も大変だな、とか思いましたのですよ。
けどこれ、ドメイン名(URL)の「尻側」を省略表示すると脆弱性に繋がり得るというのはわかったけど、では「頭側」の省略表示なら問題がないのかと言われると、それはそれで問題があるように思えるのですよね。スキーム名が見えなくなる、とか。
この問題、どう解決しているのでしょうか。教えて偉い人。
Re:Administratorじゃなければ (スコア:1)
とかいう回避方法でしたっけ?どこかで紹介されたなあ。
Re:Administratorじゃなければ (スコア:1)
この前流行ったphpBBの穴を利用するやつだってnobodyを取られるだけで、悪さされちゃうわけですし。
被害を受ける範囲をほんのすこし狭めるだけで、被害を防げるわけではないので根本的な解決にならないかと。
Re:Administratorじゃなければ (スコア:1)
User ディレクティブで指定しているユーザが乗っ取られると理解していましたが.
# こいつの場合はWeb サーバ専用の UID を用意する事で被害は最小限だと思います.
------------------------
いつかきちんと仕上げよう
Re:Administratorじゃなければ (スコア:1)
apacheに穴があっても、rootが乗っ取られるわけではないのでたいした被害じゃないと言っているようなもの。
Re:Administratorじゃなければ (スコア:1, すばらしい洞察)
# この点は、Microsoftが悪いわけじゃないのだけれど。
でも、そういう行儀の悪いのも含めて、アプリが多いのがWindowsのいいところなので、Administatorでなくても動くアプリだけ使うのだったら、別にWindowsを使わなくても良かったりする。
Re:Administratorじゃなければ (スコア:2, すばらしい洞察)
そんな行儀の悪いアプリケーションも、インストールしたフォルダ内の書き込み権限を設定すれば、ちゃんと動くことが多いけど、Windows XP HomeじゃCaclsコマンドを叩かないといけない訳で、困ったもんです。
Re:Administratorじゃなければ (スコア:2, すばらしい洞察)
だいたい、Windowsはホームユースで使われることが多いし、ホームユースでなくても、管理者不在で使われることも多い。そんな状況の中で、「システム管理する時だけAdministratorで作業しろ」って言ったって、そんな面倒くさいこと、一般には簡単には受け入れられないわな。
この点、UNIXは最初からマルチユーザOSなので、マルチユーザを意識して作るのが普通なのだけど、「やっぱり管理の時だけrootになる」ってのは面倒なみたいで。実際、Linuxのように「rootじゃないと動かない」アプリが皆無のOSであってすら、個人がインストールしたコンピュータでは、相当数がrootのままで動いてる。
「Adminで作業するからいけない」と言うのは簡単だけど、実行する、あるいはさせるのはそんなに簡単じゃないと思うのですわ。
Re:Administratorじゃなければ (スコア:1, フレームのもと)
AというものにBという長所がある。
Bを活用しないのであればAを利用する価値が減ずる。
ホントに理解できないのかな…ゆとり教育の成果?
Re:Administratorじゃなければ (スコア:1, 参考になる)
suでちょいっとAdministratorに手軽に切り替わるって機構がないもんで
Administratorで作業しつづけるしかないわけで.
Administrator権限が必要ですってエラーメッセージだされてOKボタン押すしかないってのじゃなく,
必要になった段階でパスワードとかダイアログでも出して聞いてくるってのが標準的な動作ならいいんだけどね.
Re:Administratorじゃなければ (スコア:2, 参考になる)
> 必要になった段階でパスワードとかダイアログでも出して聞いてくるってのが標準的な動作ならいいんだけどね.
これ、あると便利ですね。ただし、どうやってトロイを排除するかが問題になりそう。ログオン時にはCtrl+Alt+Deleteによって識別できるわけですけど。
あ、でもそれは「ユーザー名を指定して実行」でも同じか。あれとそっくりなダイアログを出されたときに見破れるかどうか、自信がないです。
Re:Administratorじゃなければ (スコア:1)
Shift押しながら右クリック→「別のユーザーとして実行...」とか、ちょこっとした作業しかできませんが、コマンドプロンプトで制御できるものならば一般ユーザ状態からRUNASコマンドでCMD.EXEをAdministratorで起動してそこで作業、という方法はあります。*nixのsuほどの自由度はありませんが……。
Re:Administratorじゃなければ (スコア:2, 参考になる)
上の方法で別権限で動かせば結構多くの作業ができますよ。
Re:Administratorじゃなければ (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:Administratorじゃなければ (スコア:1)
Unixは誰のもの? [cnet.com]
Re:Administratorじゃなければ (スコア:1)
Re:Administratorじゃなければ (スコア:1, 興味深い)
rootやadminが持ってる実行ファイル等なんかより、
一般ユーザが持ってるデータのほうがよっぽど重要だと思うんですが?
Re:Administratorじゃなければ (スコア:1)
全ファイルにあれこれ出来てしまうので、これらのアカウントを
常用するのはやめた方が、って話なんです。
Re:Administratorじゃなければ (スコア:1)
守られなければならないという意見は極論ではないと思いますが……。
現状、きちんと守られていないPCも多数ありますが、だからといってそのままでいいというわけではありません。
Re:試してみたけど (スコア:2, 参考になる)
自分の2000SP4+IE6SP1では動かなかった。
「現在のセキュリティ設定では、このページのActiveXは
実行できません(略」だと。
HHCtrl.ocxの脆弱性を突いているようだけど、
exploitで実行しようとしているメソッドが
2000にはない模様。
自分の2000に入っているHHCtrl.ocxのバージョンが5.2.3735.1
exploitのobjectタグに入っているのが5,2,3790,1194
呼び出そうとしているメソッドはHHClick
このメソッドがXPのocxにしかないのかもしれず。
手元にXPないのでわかりません。
HHCtrl.ocxの脆弱性が全OS共通なら2000もPoCが
動くはずなんですが。
ADOは外部からファイルやスクリプトを
ダウンロードするために使っているだけです。
こんなやりかたもあるのかと驚きましたが、
どうせローカルゾーンで動くんだから
FileSystemObjectでそのまま保存すりゃいいじゃんと
思います。
標準コマンドだけでもdel *.*で充分悪さが可能でしょう。
あと発見元のwebで別のexploitを踏んだら
Norton AV2002がブロックしました。
Re:試してみたけど (スコア:1)
このコンテキストでActiveX動かないんじゃ
exploitにならないんですが。XPだと動くって話?
exploitの書き方がまずいってわけでもなさそうだし。
ちょっと謎。
Re:試してみたけど (スコア:1, 参考になる)
と説明に書いてあります。
Windows2000では`c:\winnt'がデフォルトになっているはずなので、このexploitは動作しないはずです。
あえて`c:\windows'にインストールしていない限り。
Re:試してみたけど (スコア:3, 参考になる)
codeBase=hhctrl.ocx#Version=5,2,3790,1194 の#以降
これが多分新しすぎてXP以降でしか動かないんでしょう。
ローカルに保存して、バージョン指定を削除してから動かしたら
やっぱり2000SP4でも動きました。
やばいよねえ……
Re:JavaScript無効だと駄目? (スコア:2, 興味深い)
スクリプトで呼んでいるので、有効にしていないと
そのexploitは動かないことでしょう。
スクリプトと言ってもボタンをClickするメソッドを
呼んでるだけなので、ユーザにクリックさせる
形にすればスクリプト無しでもexploitできるかも。