パスワードを忘れた? アカウント作成
13283733 story
Windows

Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 17

ストーリー by hylom
難しい 部門より
headless曰く、

Microsoft Edgeの同一生成元ポリシー(SOP)を迂回し、別のドメインからCookieやログイン情報などを取得できるバグが発見された(Broken BrowserRegisterOn MSFTの記事[1][2]Neowin)。

Microsoft EdgeやInternet Explorerには、サーバーリダイレクトの途中でwindow.locationの内容を書き換えると、リダイレクト先をリクエスト元と認識するバグがあるのだという。これをリダイレクト先ページ内のiframeに適用し、locationにデータURIスキームでJavaScriptコードを指定すれば、ほぼ親ドキュメント(リダイレクト先ページ)のコンテキストでコードが実行できるとのこと。ただし、リダイレクト先の読み込みが開始される前にlocationを書き換えてしまうと予期した通りの動作をしない。そのため、PoCではアラートを表示してコードの実行を待機させている。

PoCとしては、TwitterやFacebookのログインページにリダイレクトしてブラウザーが保存したログイン情報を表示するものや、Google reCAPTCHAのページにリダイレクトしてCookieを表示するもの、リファラーをmicrosoft.comに偽装するものが公開されている。コードを一部変更することで、Internet Explorerでも動作するようだ。

なお、テストした環境(Windows 10 Creators Update)ではFacebookのログイン情報が取得できず、Twitterは空のユーザー名とパスワードが表示されることもあった。また、Broken Browserの記事に掲載されているスクリーンショットとは異なり、リファラー偽装のPoC以外ではアドレスバーにURLが表示されず、ページタイトルも「空白のページ」となっていた。

今回のバグはMicrosoftも認識しているが、修正時期については明言していないようだ。バグを発見したセキュリティ研究者のManuel Caballero氏は、4月にもMicrosoft EdgeでSOPを迂回可能なバグ2件発見しているが、これらは未修正のままだという。ちなみに、昨年12月にCaballero氏が発見したMicrosoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題については、3月の月例更新での修正は迂回方法が同日発見され、さらに5月の月例更新での修正も迂回方法が同日発見されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月18日 9時21分 (#3212699)

    OutlookとかにHTMLメールを送りつける攻撃が成立する?

    • by Anonymous Coward

      IEコンポーネントとEdgeは全く別の存在でしょ。

      • by Anonymous Coward

        >コードを一部変更することで、Internet Explorerでも動作するようだ。

        • by Anonymous Coward

          うお、マジか。
          やっぱり記事はちゃんと読まなきゃいけないね。めんご。

    • by Anonymous Coward

      もしかしてOutlookってhtmlメールを無条件にhtmlとしてレンダリングするの?
      いやまさかそんな恐ろしいMUAが世の中にあるわけ・・・ないよね???

      • by Anonymous Coward
        無条件にレンダリングする MUA は世の中腐るほどある。というか、コンソールベースでもない限り、そうでない物を探すほうが難しい。
        2000年ぐらいから MUA ではは、レンダリングはするけど、その中に含まれる javascriptの実行だとか 画像のダウンロードだとか「表示」に関わるもの以外は何も実行しないという方になってきてる。
        • by Anonymous Coward

          JavaScriptが動かないのであれば今回の件に関しては大丈夫かねー。

      • Java Scriptは動かなくはないが、そもそも限られた機能しか無いから攻撃しようがない。
        #WordのHTML機能ではCookie生成自体できないと思われる。

        もうサポート切れしている古いOutlookならIEコンポーネントだが、とはいえかれこれ25年も前からJava Scriptに動作制限やり始めている。
        Cookieが作れるほど古いバージョンともなると制限のないIEでさえ今回のスクリプトが動くかどうかも怪しい。

    • by Anonymous Coward

      信頼済みサイトなどに登録されているサイトからのメールであっても
      MTAにおけるIEコンポーネントではインターネットゾーンで扱われるのでは?

      故にインターネットゾーンの設定によるということが基本となり
      そのうえでMTAの実装によって許可されることが異なってくる
      ・HTML表示/非表示
      ・画像表示/非表示
      ・スクリプト有効/無効
      ・etc...

  • by Anonymous Coward on 2017年05月18日 19時39分 (#3213094)

    内容読むとけっこうヤバそうな脆弱性な感じもするが、たいして話題になってないってことは大丈夫なんだろう(他人任せ感
    容易な攻撃シナリオがないのかな 知らんけど

    • by Anonymous Coward

      2つある鍵のうち1つが開けられるようになっていた位の問題。
      それはもちろん…WebサービスがCookieにパスワードを復元可能な状態で保存するような洒落にならん事をしていたら一発アウト。

      特定条件下で任意のコードが実行可能になるようないつもの問題と比べると…
      影響範囲は広いがそれだけで実害が出るわけではない。
      早めに直すに越した事はないが、トラブル起こすくらいなら時間かけて直してほしいような類の問題。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...