IEのobjectタグにクラッシュや任意コード実行可能な脆弱性 66
ストーリー by Oliver
DoSからゾンビ化まで 部門より
DoSからゾンビ化まで 部門より
mew 曰く、 "米Microsoftが Internet Explorer に関する新たなセキュリティアドバイサリ「Microsoft Security Advisory (903144)」を公開した。Internet Explorer は object タグによって非ActiveXコントロール(例えばCOMオブジェクトなど)をActiveXコントロールのように利用可能にする機能をサポートするが、その仕組みにセキュリティ上の不具合があり、それを悪用されると Internet Explorer を強制終了させられる、などの侵害を受ける。場合によっては“メモリの汚染”によって「任意のコードを実行させられる潜在的な可能性」もあるという。例として「javaprxy.dll」COMオブジェクトが取り上げられている。この不具合がもたらす脅威の正確な範囲は、現在も調査続行中とのこと。
影響を受ける Internet Explorer のバージョンは 5.01/5.5/6.0(SP2も)など。まだパッチは存在しないが、当面の回避策として「セキュリティゾーン設定を『高』にする」または「ActiveXコントロールが使われるときに『毎回問い合わせる』ように設定を変更する」が示されている。関連記事として以下のものなどがある。"
- ITMediaの記事。
- 日経 IT Pro の記事。
- Secuniaによるアドバイサリ。重要度は「Higily Critical」。
- Secuniaによって紹介されている、発見者による報告。技術面な側面についてはここが一番詳しい。この不具合が「javaprxy.dll」だけに留まらない可能性も示唆されている。
どちらの問題? (スコア:2, 興味深い)
最初読んだ印象としては、IEがCOMオブジェクトを生成する部分に何らかの問題がある(すなわちIE側の問題)のかと思いましたが、SEC Consultの記事を読むとクラッシュを引き起こすことの出来るCOMオブジェクトを20個ほど見つけたというだけで、全てのCOMオブジェクトで問題が発生するとは書かれていませんでした。
COMオブジェクト側の問題、あるいはIEとCOMオブジェクトの合わせ技の可能性もありそう。でも記事はやっぱり「IEにセキュリティホール」「IEにバグ」、そしてMSは「特定のCOMコンポーネント(Javaprxy.dll)が悪い」と、分かりやすいですね。
Re:どちらの問題? (スコア:1)
で、そのCOMコンポーネントをIEから呼び出す事も可能。
となると、IEが悪いとも言えないような....。COMコンポーネントとして呼び出すと言う機能自体は便利なので、それ自体が良くないと言っても始まらないし。
ActiceXと同じように、呼び出しても安全だと個々のCOMコンポーネントをマークするような仕組みがあれば良いのかなあ。
オフトピですが (スコア:1)
<LI><A HREF="http://srad.jp/article.pl?sid=05/07/01/2355213&topic=41">IEの<object>タグにクラッシュや任意コード実行可能な脆弱性</A></LI>
という表現(& l t ;と& g t ;じゃなくて<と>になってる)があって、ActiveXをOFFにしてると「IEの」まででレンダリングが止まっちゃいますね(ActiveXアリは試してない)。
# ホントのテキスト形式でも、「& a m p ; l t ;」が
# 「& l t ;」と同じ扱いなのね。
yp
Re:オフトピですが (スコア:1, おもしろおかしい)
ある意味話題に沿っているが^^;
Re:オフトピですが (スコア:0)
表示変更等が全然出来ないのであまり意味ありませんがヒントは見れます。
#Proxomitronで変換フィルタ入れてこれ書いてます。
#(ま、wordの単純変換だからすぐ書けたけどね。from 別AC)
ということは (スコア:0)
これは悪意ある編集者がユーザーのcookieを盗み出す事も可能という事でしょうか。
Re:ということは (スコア:1)
Slashcode 2.5では直っているかと、テストスラッシュ [srad.jp]で実験してみたのですが、当該リンクを表示する部分がそもそもなくなっていました。
Re:ということは (スコア:0)
どれくらいいるのでしょうかね。
アクセスするユーザが、悪意の無いサイトと
勝手に判断するのと、そうしたコードを埋め込む
のとは別でしょうけどね。
スラドに関するcookieを、スラドが取得しても
それは悪意とは言わないし、悪意あると思われる
コードを使うまでも無い事でしょう。
クラッシュだけなら (スコア:1, おもしろおかしい)
「それを悪用されるとWindowsが安全になるセキュリティホール」と読み替えられそうな...
Re:そんなことしなくても (スコア:1)
クラッシュをさせる必要はなし(笑
Re:そんなことしなくても (スコア:1)
窓を閉じるわけですね。
窓を閉じなくても (スコア:1)
サクッと抜けば,という話のつもりでしたが。
窓を閉じたりクラッシュさせるなら,Windowsなんて使わなくても・・・
# OS/2使いなのでID
Re:窓を閉じなくても (スコア:0)
yasudasuさんはWindowsを
外のネットワークから隔絶するという意味で
「窓を閉じる」と表現していたものと…。
意図したところは同じですね。
# 「窓を閉ざす」と言えば誤解されにくかったんじゃないかと。
Re:窓を閉じなくても (スコア:1)
いらん窓を閉じて1つだけにしてしまえということではないかな?ないかな?
norimu
昔からでしょ (スコア:0, 興味深い)
ActiveXって何に役に立ってるのでしょうかね。
アプリの起動だけじゃ使ってることにならないしね。
#本来はjavaパクリなんでしょうけど
Re:昔からでしょ (スコア:2, すばらしい洞察)
なんでもできますから。(ディスクのフォーマットからレジストリの書き換えまで)
・起動フロッピーを作成するWebアプリを作れなんて言われたら....
notice : I ignore an anonymous contribution.
Re:昔からでしょ (スコア:2, 参考になる)
簡単に説明すればActiveXってのはOLEから進化して来た技術で
本来の根幹はアプリケーション間通信の為に存在していました
よくExcelの中に別のドキュメントを埋め込んだりしてあるアレだと
思っていただいて結構です。
1度作ったドキュメントやプログラムを再利用することで
複数のプログラムで無駄な開発をなくせることと、
一括でBugfixできるって意味で有益だと思われて提供されています
古いVisualBasicだとOCX等と呼ばれた時代もありましたが、
ActiveX技術はアプリ通信以外だとライブラリの一つの形でもあると言うことです。
何故 IEでActiveXがサポートされる必要があるのかと言えば
IEもアプリケーションの1つですし、通常のHTML以外にActiveForm等のような
ブラウザ内で動作するネイティブプログラムや各種言語から
ActiveXをダウンロードして使う為です
あとOLEの歴史はjavaより古いです、何がパクリなのかわかりませんが歴史的にはOLEの方が古いです。
Re:昔からでしょ (スコア:1, 興味深い)
発表当時、Java Appletの対抗技術としてされていたからではないでしょうか?
そのころのイメージを引きずっていて、かつOLEの歴史を知らなければ(さらにJava=Appletという時代から知識が更新されていなければ)、ActiveX=危険なJavaという理解になるのも分かる気がします。
> あとOLEの歴史はjavaより古いです、何がパクリなのかわかりませんが歴史的にはOLEの方が古いです。
当時、Java Applet vs ActiveXという構図があり、かつActiveXという名前が後から出された(技術的な面はともかく)ことを考えれば、パクリといわれても仕方ないでしょう。
つまり、Microsoftがパクったのは「ダウンロードして使うWeb Browser埋め込みアプリケーション」という発想です。
名前 (スコア:0)
だとしたら、なのですが、同じ物にどんどん別な名前つけていくのをやめてほしいです。マイクロソフトさん。
Re:名前 (スコア:2, 参考になる)
その「同じ仕組み」の名前が途中でバージョンアップとか
機能追加とかに伴い、OLE2→COM→COM/DCOM→COM+と変遷してますが。
COM+で何のインターフェイスを実装するか(実装を必須条件とするか)ですね。
一番簡単に言うと、IDispatchを実装してればActiveXと言えるんでしたっけ?
実際のところ、COM+は良くできた仕組みだと思いますよ。
IUnknownの設計とか。
MozillaのXPCOMもGnomeのbonoboもIUnknownに関しては、完全に
COM+の模倣ですね。
OLE1.0 (on Win3.1)はObject Linking and Embeddingでしたが、
OLE2.0 (on Win95)からは何の略でもなくOLE。OLE1とOLE2は別物です。
Re:名前 (スコア:0)
実は今いろいろ脆弱で大変なんだけど…
#今更なのでAC
Re:名前 (スコア:0)
OLE と OCX 相当のものは、別々の種類のモノだった。
Windows 3.1 時代までさかのぼると、プロセス間通信としてのOLE は次世代 DDE として
宣伝されてたように思う。
共有ライブラリとしての OCX は
Re:昔からでしょ (スコア:0)
ただ、.dll や Linux の .so のような関数ベースのライブラリではなく、
VB などからも使いやすいようにコンポーネントベースの。
Re:アプリの起動だけじゃ (スコア:1)
# Deer Park WPS Alpha 1使いなのでID
Re:アプリの起動だけじゃ (スコア:0)
(HTTPでやるのはいいとしても)。
aptみたいな単体のアプリケーションでやればいいだけだと思います。
Re:Webブラウザでやる必然 (スコア:1)
Windows Updateをするようにってゆっているわけだし。
一般的に慣れたインターフェースを使わせることに
意味があるのではないの?
# Internet Explorerには慣れたことないけど(^^;
Re:Webブラウザでやる必然 (スコア:3, すばらしい洞察)
>意味があるのではないの?
WindowsUpdateは割と頻繁に操作方法が変わりますから
IEがどうの、HTMLのインターフェースがどうのといわれても
あまり意味ないですね。
Re:Webブラウザでやる必然 (スコア:1)
IEを使わないUIというなら、自動更新もありますが。
Re:Webブラウザでやる必然 (スコア:2, すばらしい洞察)
# NIMDA以来ActiveXもスクリプトも切ったままなのでID
Re:Webブラウザでやる必然 (スコア:0)
当時は今ほどインフラがあるわけでもなく、回線速度とかいろいろ問題もあったでしょうし。
Re:Webブラウザでやる必然 (スコア:0)
> 意味があるのではないの?
慣れたインターフェースでというのなら
IEよりもむしろ Ctrl+Alt+Del で
Re:Webブラウザでやる必然 (スコア:0)
Re:昔からでしょ (スコア:1)
イントラネット用で使ってたものをインターネットに持ち込んだ
のが間違いの始めとか、なんとか。
256倍本に書いてあったような。。
うろ覚えですいません。
Re:昔からでしょ (スコア:2, 興味深い)
イントラネットじゃなくてスタンドアローンでの運用を
前提としたセキュリティレスな仕様をインターネットに
持ち込んだ、が正しいのではと思います。
Re:昔からでしょ (スコア:1)
Mozillaの既知の脆弱性で危険度が高いのは概ねこれの悪用だし。
Re:昔からでしょ (スコア:0)
無理があるのではないかな?ついでにぐぐると223件 [google.co.jp]しかない。
正しくは、「XULで記述されたchromeの中に埋め込まれたJavascript」かな。
ウェブページへのアクセス時に要求されるものではなく、ローカルに落として
適用・運用するものだから、やはり「同じくらい」には語弊がある。
いつ
Re:昔からでしょ (スコア:1, 参考になる)
Known Vulnerabilities in Mozilla Products [mozilla.org]に挙げられている脆弱性の内、特権付きjavascriptの無断実行に関する物を以下に挙げる。C,H,M,Lは程度(C=critical, H=high, M=moderate, L=low)、バージョン番号の後の括弧内は脆弱性の総数、パーセンテージはhigh以上の脆弱性の内特権付きjavascriptの無断実行に関する物の占める比率である。
Fixed in Firefox 1.0 (C=2, H=2, M=2, L=3) 25%(1/4)
[C] MSFA 2005-12 [mozilla.org]
Fixed in Firefox 1.0.1 (C=2, H=3, M=5, L=6) 20%(1/5)
[H] MFSA 2005-26 [mozilla.org]
Fixed in Firefox 1.0.2 (C=1, H=1, M=0, L=1) 50%(1/2)
[H] MFSA 2005-31 [mozilla.org]
Fixed in Firefox 1.0.3 (C=3, H=2, M=4, L=0) 100%(5/5)
[H] MFSA 2005-34 [mozilla.org]
[M] MFSA 2005-35 [mozilla.org]
[H] MFSA 2005-36 [mozilla.org]
[C] MFSA 2005-37 [mozilla.org]
[M] MFSA 2005-38 [mozilla.org]
[C] MFSA 2005-39 [mozilla.org]
[C] MFSA 2005-41 [mozilla.org]
Fixed in Firefox 1.0.4 (C=3, H=0, M=0, L=0) 100%(3/3)
[C] MFSA 2005-42 [mozilla.org]
[C] MFSA 2005-43 [mozilla.org]
[C] MFSA 2005-44 [mozilla.org]
Fixed in Firefox 1.0 ... 1.0.4 (C=11, H=8, M=11, L=10) 57.84%(11/19)
このようにMozilla Firefoxの重大な脆弱性のうち半数以上が特権付きjavascriptの無断実行に関する物である。将来のバージョンで取りこまれる予定のbug 281988 [mozilla.org]、bug 296639 [mozilla.org]、bug 286651 [mozilla.org]等の対策はこの状況を緩和し特権付きjavascriptの無断実行の可能性を下げると考えられる。
あとFirefox 1.0.4にもウェブページから勝手に特権付きスクリプトを実行出来る脆弱性が有る。bug 294795とか。
回避策 (スコア:0, 余計なもの)
インターネットゾーンのセキュリティレベルを高にする
もしくは
ActiveXコントロールとプラグインの実行をダイアログを表示する
によって回避できるっぽいです。
Re:回避策 (スコア:0, オフトピック)
もうしわけない…
「余計なもの」お願いします。
ブラウジングと電子メールの安全性を強化する (スコア:0)
かなり以前からマクロソフトはサイト上で呼びかけています。
ブラウジングと電子メールの安全性を強化する [microsoft.com]
それでも設定を「高」にしないでブラウズして被害を受けるのは愚かだと思いますし、
「高」にするとまともに表示できないサイトを作り続けるのも愚かだと思います。
Re:ブラウジングと電子メールの安全性を強化する (スコア:0)
って、target="_blank"をつけるような便利なツールが出回っているのか?
さて、本題。マイクロソフトは「カスタム設定のリセット」で、「セキュリティの設定」を「中」に戻す設定をしておりますが、これはいかがお考えでしょうか?お考えをお述べください。
Re:ブラウジングと電子メールの安全性を強化する (スコア:0)
「設定のリセット」をして初期設定と違う設定にされたらそれこそ問題だ。
IE7ではおそらく最初から「高」にあたるものになってるはず。
Re:ブラウジングと電子メールの安全性を強化する (スコア:0)
>公開日: 2003年12月16日 | 最終更新日: 2003年12月16日
ってことね?じゃ、その後新規に出荷された、「全く別」のバージョンと言われるMicrosoft Windows XP Tablet PC Edition 2005については、どうなるんでしょう?
確認したマシンがそれなんですけどぉ?
答え:OEM先にお問い合わせください。
Re:ブラウジングと電子メールの安全性を強化する (スコア:0)
特に行政とかの公共サイトにはガイドライン設けて欲しいぐらい。
注意! (スコア:0)
Re:注意! (スコア:0)
あなたもですか。
確認報告がありませんねぇ。 (スコア:0)
# IE の次バージョンって、セキュリティ設定は「高」がデフォルトになるんだろうか?
意味ないじゃぁん (スコア:0)
だって、これだけバグだ、脆弱性だ、って騒がれて
マトモに使うのは至難の技て感じなのに...。
#只より高いものはない。
#安物買いの銭失い。
Re:意味ないじゃぁん (スコア:0)
Re:よっしゃーーーーー!!! (スコア:0)