Hatena::ブログ(Diary)

hoshikuzu | star_dust の書斎 このページをアンテナに追加 RSSフィード Twitter

hoshikuzu|star_dustの日記について

書く内容の方針とかはフラフラしているのです。あまり考えていないかも知れません。面白いなぁと思うこと、大事なことだなぁと思うことを書いています。あんまり悲しいことは書かない主義。

 | 

2006-04-28 このエントリーを含むブックマーク このエントリーのブックマークコメント

CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね

そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。

CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。

このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも…

mhtmlスキームとHTTP302応答の組合せで、AJAXでおなじみのXMLHttpRequestやiframeなどでの読み込んだ内容が、セキュリティ上の要請で本来クロスドメインではJavaScriptでアクセス出来ないはずのコンテンツを、ひっぱり出すことが出来ちゃうよ、というお話。

CSSXSS脆弱性では、例えば、{、が被害者のページに含まれている必要がありましたが、今回の脆弱性にはそのような制限がありませんので、悪意ある者による攻撃が、よりたやすくなることが予想されます。

一番の肝は以下のようなものでしょうか?

以下のURLにアクセスする
http://secunia.com/ie_redir_test_1/
すると以下のようなURLにリダイレクトされる
mhtml:http://secunia.com/ie_redir_test_2
上のURLにアクセスすると、以下の被害者ページにさらにリダイレクト
mhtml:http://news.google.com/
表示は確かにニュース@グーグルなんだけど、なんとアドレスバーが変化しないよ?以下のまんま。
mhtml:http://secunia.com/ie_redir_test_2
ためしに、ドメインの認識はどうなってるかとアドレスバーに以下を入れてみる。
javascript:alert(document.domain)
ありゃぁ、変なドメインだよ…どうなってるの?httpつきってどうよ?
http://secunia.com/ie_redir_test_2
そうか!ドメイン壊れてるから…
XMLHttpRequest いけちゃってるんですねぇ。iframeやbjectからもいけてしまっているみたいです。

下記は自作デモ(iframe要素版&object要素版)

私達庶民の対策。

  • そもそも信頼できないページを見ない
  • IE使わない
  • アクティブスクリプトとAxtiveXを切る
  • レジストリでmhtmlスキームのハンドラを殺す(OutlookExpressではメールが読めなくなる副作用があるかもです)

サーバ側の対策。……………… orz

20060429追記

悪名高い、はまちちゃんがさっそく、今回の件で危険度の高いデモンストレーションを行っています。

はまちちゃんによれば以下の情報を奪取可能とのこと

  • mixi ログインで使うメールアドレス
  • mixi ID
  • mixi postkey
  • mixi メッセージ
  • 他のwebアプリケーションに登録してある情報と関連付け

危険なので、はまちちゃんの実証コードを見に行かないで下さい。

追記終わり

20060429追記2

悪名高い、はまちちゃんが、CSSXSS脆弱性に関して4月度のWindowsUpdateに対応してバージョンアップしたデモンストレーションを行っています。はてなシステムと、オークションなどで使われるYahooID関連の情報の抜き取り関連です。当然のことながら、IPアドレスで組み合わせれば、個人の情報を追跡することが可能です。mixiではsnsということもあり安易に個人情報を書いている人もいますがこれらと紐付けられることによりかなり危険なことになります。

バージョンアップの内容は、予想した通りでした。verが301回も更新したあたりで密かに笑いました。 関連:http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

危険なので、はまちちゃんの実証コードを見に行かないで下さい。

追記終わり

20060430追記:はまちちゃんトラップページからこの日記に来た人が1000名を超えるかも(汗 それに比べて、たとえばセキュmemoさんから来た人が半分ぐらいなんです。orz はてなブックマークで警告しましたが蟷螂の斧でしたか・・・踏んだ人は怖いものみたさなのですかねぇ。Opera使いの人ははまちちゃん罠ページでブラクラにはまったハズなので…なんともはや。罠周辺でうろちょろしていてamazonに預けてある実名かもの個人情報を抜かれている人もいたりして、ダメダメ。

えむけいえむけい 2006/04/29 01:23 Firefoxですごいの発見しました。詳細はまだ書けませんが、「危険な」タグのみを殺しているようなWebアプリケーションでXSSが超簡単に成立します(ホワイトリスト方式なら問題ないはずですが)。2000年頃からのGeckoエンジンブラウザすべてが同様に影響を受けます。

hoshikuzuhoshikuzu 2006/04/29 08:47 ...ふひぃ。

私がFxで追いかけているのは、従来のブラックリストでは殺しきれない不正なstyle要素やstyle属性の内容によるものです。但し、一部のWebアプリケーションでは、たまさかでしょうけれども、大丈夫です。例えば、【はてな】とかは大丈夫です。 

えむけいさんの実証コードのほうが想定被害規模が大きいようですね。

ItalicItalic 2006/05/09 16:02 はまちちゃんという人は知らないけど、
だからといってセキュリティホール memoの人が信用できる
とは限らないのでは・・?
むしろ私としてはあの界隈、セキュリティホールmemo等が
所属してたAD200Xの方が信用できないと思っています。
要は自己責任で。

えむけいえむけい 2006/06/02 12:21 MFSA 2006-42として公開されました。
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-42.html

 | 
最近のコメント