パスワードを忘れた? アカウント作成
10519 story

IEに未パッチの脆弱性4種、実証コードあり 91

ストーリー by Acanthopanax
JPEGまわり 部門より

Technical Type 曰く、 "HotFix Report BBSからの情報。Internet Explorer の脆弱性が Michal Zalewski 氏によって SecurityFocus に4種類報告された。

  1. Microsoft Internet Explorer JPEG Image Rendering Unspecified Buffer Overflow Vulnerability
  2. Microsoft Internet Explorer JPEG Image Rendering CMP Fencepost Denial Of Service Vulnerability
  3. Microsoft Internet Explorer JPEG Image Rendering Memory Consumption Denial Of Service Vulnerability
  4. Microsoft Internet Explorer JPEG Image Rendering Unspecified Denial Of Service Vulnerability

問題発見者は IE6 SP2 にて脆弱性を確認している。コンセプト・コードも公開されているが、現時点でパッチはない。
上記 1.は、リモートでコードが実行可能。上記 2.では、コードの実行は確認できていないが、可能かもしれない。上記 3.は、ブラウザがクラッシュする。上記 4.は、ブラウザのクラッシュおよび CPU を過剰に消費しサービス不能に陥らせることが可能とのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • すまん、もう1つ追加 (スコア:5, おもしろおかしい)

    by Technical Type (3408) on 2005年07月19日 22時14分 (#769157)
    これも未パッチのIEの脆弱性に追加でよろしく。 こちらは実証コードは無し。MSN Messenger と IE の幅広いバージョンが該当。
  • 発見者の態度 (スコア:4, 参考になる)

    by deleted user (19654) on 2005年07月19日 21時19分 (#769125) ホームページ 日記
    投稿 [securityfocus.com]には
    「ちょっと実験してクラッシュを発見しただけだから、詳しく調べればもっとあるかもよ」
    「でも、マイクロソフトと連絡をとるのは、やたら時間がかかるからね。
    クラッシュだけで、明白なエクスプロイトがない場合は特に。」
    と書いてあるので、IE ユーザはかなり危険な状態にありそうです。
    パッチが出るよりも、これを本格的に悪用する黒帽さんが出てくるほうが確実に早いでしょう。

    リターンアドレスが自在に変えられそうだってことまで分かってるんだから、
    そのまま公表しちゃうのは非常に無責任です。憤りを感じます。
    • Re:発見者の態度 (スコア:2, 参考になる)

      by Anonymous Coward on 2005年07月19日 22時09分 (#769150)
      とりあえず試してみた。
      IE6SP2、WinXPSP2、DEP有効(Athlon64)。
      Windows Updateは全て適用済み。
      1,2はIEが落ちる。3,4は画像が表示されないだけ。
      親コメント
      • by onnoji (27294) on 2005年07月20日 1時12分 (#769263)
        1と2は余裕で落ちますね。IEをコアにしてる物は、ほぼ全て。(そりゃそうだ)
        3と4は、ウチのPCだと頑張って緑色だらけになって、頑張ってくれるんですが
        やっぱ落ちてしまふ。
        3と4は、難しく考えずとも一部だけ処理して危険性のある物だけをダイアログで
        示すなりして、危険性を促して欲しいものです。

        #大量に開いたURLが、コレ等に引っかかって全部消えるのは泣けるから
        親コメント
    • 誰に対する責任というんでしょう。はっきり言って、出所の分からないような JPEG 食ってヤラれるようならヤラれた方が 100% 悪い。違います?

      はっきり言って甘えが通用する世界ではないです。ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、Microsoft にチャンスを与えても良かったとは思いますけど。

      #言うまでもなく、馬鹿な人間が非難することで情報が地下に潜る方が比較にならないほど困ります。

      親コメント
      • by Yapoo (9023) on 2005年07月19日 22時49分 (#769185)
        別に変な意味じゃ無く、出所不明のJPEG画像なんてWebブラウザ使ってれば普通に表示されてると思うけどなあ。
        リターンアドレスが自在に変えられる≒自在にコード埋め込めるのが事実なら、いきなり公開するのは相当無責任だと思うけど。
        親コメント
      • >誰に対する責任というんでしょう。
        >はっきり言って、出所の分からないような JPEG 食ってヤラれるようならヤラれた方が 100% 悪い。違います?

        すみません、私は
        「発見した者には世界・世間に対して責任がある」
        という古いアタマの人間なんです。

        日本では合法なはずですが、フランスではフル・ディスクロージャは違法だとか
        聞いたことがありますから、同様の考えを持つ人も少なくはないようです。
        (それが正しい判断かどうかは別として、です。)

        「JPEG 食ってヤラれる」以前の問題として、そのような被害が出る危険性を
        承知のうえで最善を尽くさなかったことは「無責任」だと思ったのでそう書きました。
        実際に被害が出ても、それを Zalewski 氏のせいにしようとは思いません。

        誤解を招くような書き方をして申し訳ありませんでした。

        >はっきり言って甘えが通用する世界ではないです。
        >ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、
        >Microsoft にチャンスを与えても良かったとは思いますけど。

        そうなんです。ベンダに報告するのは確かに大変ですし、
        ICMP の脆弱性を (再?) 発見した Fernando Gont がシスコに特許を取られそうに
        なった件などを考えると、リスクが高いと感じる人がいるのもわかります。
        でも「面倒だから」といって連絡をとらないのは無責任だと思うんです。
        たしかに報告してもしなくても自由なんですけど、公開メーリングリストに
        投げるくらいならマイクロソフトに (期限付きででも) 教えておいてもよかった
        と思うんですよね。

        でも、自分の価値観や道徳観を押し付けるような投稿でしたので、
        不愉快な思いをさせてしまったことをお詫びします。
        親コメント
      • by Anonymous Coward
        どこからつっこんだらいいのかな?なんというかもう…

        ヤラれた方が悪い、なんていう言い草が通用するほど甘い
        世界じゃないんだけどな…
    • by yu_raku (419) on 2005年07月19日 22時11分 (#769153)
      バグを見つけたら報告する義務がわるわけでなし、誰がどこに知らせようと無責任なんて言われる筋はないと思います。
      で、この人はバグを周知しようとしてくれる人なわけで、どちらかというと善意の人。
      「マイクロソフトと連絡をとるのは、やたら時間がかかるからね。」と思わせてしまったマイクロソフトの体制に問題があるんじゃないかなぁ。
      親コメント
      • Re:発見者の態度 (スコア:3, すばらしい洞察)

        by alp (1425) on 2005年07月19日 22時26分 (#769167) ホームページ 日記
        うーん。例えば日本マイクロソフトだと セキュリティ情報センター [microsoft.com] にも問い合わせ窓口は明記されていますし、まずベンダに報告を貰うようにする努力も惜しんでいないと思います。基本的には ベンダに猶予期間を持って報告 > いきなり一般公開 >>>> 地下で公開 だと考えていますから、別記事にも書いているとおり報告者を責める気はかけらもありませんが、ことマイクロソフトに関する限り現状で報告を受ける体制に問題があると言うのもまた酷なような気がします。少なくとも他のベンダや、日本の機関とは真面目にやっている点で比較にならないでしょう。
        親コメント
        • by Anonymous Coward
          > まずベンダに報告を貰うようにする努力も惜しんでいないと思います。

          かなり惜しんでます。
          • Microsoft の中の人 (スコア:3, 参考になる)

            by deleted user (19654) on 2005年07月19日 23時41分 (#769217) ホームページ 日記
            葉っぱ日記 [hatena.ne.jp]を見ると、マイクロソフトは
            「明らかに脆弱性でないような馬鹿げた報告であっても、標準的なプロセスに従って本社へ報告する」
            という対応をしているそうです。できる限りの努力をしていると思います。
            親コメント
            • by z_cubic (20952) on 2005年07月20日 10時01分 (#769383)
              > できる限りの努力をしていると思います。
              「標準的なプロセス」の妥当性を議論しないと意味が無いと思いませんか。
              実際、そのプロセスを経験した人間が、今回はそれを選択しなかったわけですから。
              It is my experience that reporting and discussing security problems with Microsoft is a needlessly lengthy process that puts too much burden and effort on the researcher's end, especially if you just have a crash case, not a working exploit; hence, they did not get an advance notice.
              # 「最高のセキュリティ」なんていうのも同類かなぁ。
              親コメント
              • >「標準的なプロセス」の妥当性を議論しないと意味が無いと思いませんか。

                確かに。最初からマイクロソフトの側で
                もっと迅速に対処してくれれば問題なかったんですから
                マイクロソフトに改善点はあるかもしれませんね。

                http://www.eeye.com/html/research/upcoming/20050329.html
                のように、何ヶ月も経ってるのに修正されない問題なんかだと、
                報告者が事情を知らされずにただ待つのは大変だと思います。

                今回の発見者がそうした点に警鐘を鳴らすつもりで
                いきなり公表したのだとしたら、ぜひ成果を上げてほしいものですね。
                親コメント
      • by Anonymous Coward
        同じ事がオープンソース相手に起きたとき、猛烈な勢いでばらした人を責め立てている人もいるわけですが、その時にもあなたは同じ事を言えますかね。
        例えばslashcodeに脆弱性があって、こうしたらお前さんが設定してるアカウントのパスワードとかアクセス履歴とか取れちゃうよ、とここでいきなり発表したりとかした場合とか。
      • by Anonymous Coward
        MS相手になると途端に手厳しいですなあ
    • by Anonymous Coward
       発見者の態度はともかく、発見してもどこに報告したらいいかわからないのですが、どこかMSに対する報告先とかってあるんでしょうか? 発見しても一々報告するのが面倒くさい(面倒に巻き込まれるかもしれない
      • 発見してもどこに報告したらいいかわからない

        一般ユーザだとサポートに連絡かな。(ちゃんとしたフォローがあるかというのは別問題。)たしかその手のバグ報告に関しては別窓口があるか、サポートのインシデントは消費されないとかありませんでしたっけ?(うろおぼえ)回避策を教えてもらってめでたく1インシデント消化という結果でしょうが。(笑)

        ところで、この脆弱性の原因はBufferOverrunだって言っているけど、その根拠ってなんでしょうか?ICEとか使って?それともソースレベルで追っかけないとダメ?

        # いいツールがあれば教えてくださいな

        --
        vyama 「バグ取れワンワン」
        親コメント
        • 引用:
          mov_fencepost.jpg - on most platforms, causes a crash due to mov
          destination fencepost error after going past allocated memory, or
          after accessing a bogus address such as 0x27272727. The destination
          address appears to be controllable (i.e. changing the file or
          displaying other data before or along with this image alters it).
          My bets are that this is exploitable for remote execution.

          後半で「destination address は制御できるみたい (ファイルを変更したり
          他のデータをその前あるいは同時に表示すると変わるから)」とあります。
          確たる証拠というほどのものはないようです。

          発見者はソースを見る権利のない人で、リバースエンジニアリングも
          していないようです。
          親コメント
  • 数の論理で言えばIEのほうが安全ですね。

    http://www.mozilla.gr.jp/forums/?mode=one&namber=23132&type=23070&space=30& [mozilla.gr.jp]
  • by Anonymous Coward on 2005年07月19日 21時07分 (#769114)
    WindowsUpdateと新Updateを行うと、適用直後と2度目のリブートで
    IEがハングアップしました(全ての端末で起こった)。

    なんかあるんですかねぇ?(3度目以降はおきなかっら
  • Internet Explorerのお世話にはなっていないので。
    それにしてもリリースが遅れ気味だからといって,IEの方がFirefoxより安全 [srad.jp]と書いていたAC氏はお気の毒ですが・・・

    # 明日はわが身?(w

    Deer Park WPS 1.0+ [srad.jp]
    Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8b4) Gecko/20050716 Firefox/1.0+
  • となると、FirefoxとIEの両方のエンジンを使えるようにした
    Netscape8.xは、現行ブラウザの中では一番危険というわけですね。
  • by OddEye (18936) on 2005年07月20日 10時51分 (#769413)
    穴に対する非難の応酬なんかより、被害発生の数の比較(総数と単位ユーザあたり)が最終的にどの程度セキュアかの判断要素ではないかと。
    そういうデータって、なかなか出てこないですよね。大人の事情でしょうか。。。
    • 被害数が多ければセキュアではない、被害数が少なければ
      セキュアであるという問題ではないでしょう。
      アプリケーションのセキュアの程度は日々変わるのですから。

      また、リリースされてから数年が経て、ユーザ数も圧倒的に
      多いアプリケーションと、それほど月日がたっておらず
      ユーザ数も少ないアプリケーションのセキュア度を比較する
      時に、その被害発生数では比較するための基準がないでしょう。

      比較するとしたら最新バージョンでの被害数しかありませんが、
      実際のところは被害数はほとんど変わらないと思います。
      つまり、両者ともほとんど被害はありません。
      全くないとは言い切れませんが。

      短期的(たとえば半年や1年)に公知のものとなった脆弱性の
      数で言えばFirefoxはIEよりもかなり多いですが、Secuniaが
      最高の危険度と評価した脆弱整数ではFirefoxが1つに対し
      IEは2つです。

      結局何が言いたいのかといいますと、「穴に対する非難の応酬」
      と同様、どちらか安全か危険かを参考にならない数字で納得
      しようとしても無駄だということです。
      親コメント
  • by Anonymous Coward on 2005年07月19日 21時14分 (#769119)
    「安全なブラウザ」などもう存在しない [cnet.com]わけで、Microsoftが早くパッチをリリースすることを願いつつIEの使用を控えて待ちましょう。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...