リンクとか備忘録とか日記とか

2003-11-19

[][] 再掲:SafariにCookieが漏洩する脆弱性

追記:2003.12.08 11:00

以下の脆弱性は、Security Update 2003-12-05 を適用することで修正されます。よって以下の情報は既に古いものと考えて下さい。

なお、詳細に関しては当日記の『Security Update 2003-12-05』をご覧下さい。

Apple Safari 1.1 (v100) (bugtraq)で報告されている様に、SafariにCookieが漏洩する脆弱性が見付かっています。

また、下記コメント欄にある様に、id:DayTripperさん、通りすがりさん、私の検証により、Mac OS X 10.3 に同梱されてる Safari 1.1 (v100) だけでなく、Mac OS X 10.2.8上の Safari 1.0 (v85.5) にも同様の脆弱性があることが解っています。

追記:2003.11.20 17:20

Security Update 2003-11-19がリリースされておりますが、下記コメント欄でのid:DayTripperさんによる報告(Safari 1.1 (v100.1))、私の手元での検証(Safari 1.0 (v85.6))、/.J Macへのtargzさんのコメント(バージョン不明)、2chのSafariスレへの投稿>>998(バージョン不明)などを考えるに Security Update 2003-11-19ではこの脆弱性は修正されていません。 引き続き下記のような対策が必要でしょう。

なお、手元ではMac OS X 10.2.8+Security Update 2003-11-19+Safari 1.0 (v85.6) でヘチマコンピュータさんのCookieMonsterFix 1.0.1が正常に稼動していることを確認済みです。

id:DayTripper:20031120を見る限り、Mac OS X 10.3.1+Security Update 2003-11-19+Safari 1.1 (v100.1) でも正常に稼動しているようですね。

追記:2003.11.20 16:00
Mac OS X 10.2.6上のSafari 1.0 (v85) も同様に脆弱であることが解りました。また、下記ヘチマコンピュータさんのCookieMonsterFix 1.0.1Mac OS 10.2.6+Safari 1.0 (v85) で正常に動作する事も確認できました。ただし、10.2.8アップデートにより修正されている脆弱性が10.2.6にはありますので、10.2.6を使用し続けるのではなく10.2.8へアップデートの上で下記の対策を施す様にしてください。なお、10.2.8アップデートを適用する事でSafariのバージョンは 1.0 (v85.5) に上がります。


Safariを使用する場合には十分にご注意下さい。


なお対策としては、

  1. ヘチマコンピュータ さんによる、CookieMonsterFix を利用する。
    (私の手元では未検証です) 検証しましたがMac OS X 10.2.8では動作しないようです。
    CookieMonsterFix 1.0.1によりMac OS X 10.2.8+Safari 1.0 (v85.5) で正常に動作する事を確認しました。
  2. 他のwebブラウザを利用する。
  3. Safariを使うのであれば、Cookieの利用を最小限にとどめ利用する際には厳重に管理する。

の3点が挙げられるかと思います。

1. に関しては、ヘチマコンピュータさんの該当ページを良く読んだ上でご利用下さい。

3. に関しては、SecurIT - 産業技術総合研究所 セキュアプログラミング研究チーム による

が参考になるかと思います。

ただし、Safariでは「IV-2. 発行されるCookieを確認するためのブラウザの設定」で説明されているような“発行されるcookieを受け入れる前に確認する方法”は有りませんし、「IV-3. 既に受け入れ済みのcookieの内容を確認する方法」でのURL欄に「javascript:document.cookie;」と入力する方法も利用できません。

よって、上記「IV-1. 安全なブラウザの使い方」にあるように、

  • セッション限りもしくは 十分に短期間となっている場合には
    • サービスにログイン中は、決して他のサイトを見に行かない
    • サービスを利用し終えたら、一旦ブラウザを終了させる
  • Cookieの有効期限がセッション限りでない場合(永久だったり、数日間といっ た場合)には
    • そのサイトの利用を終える都 度、Cookieを削除する

Safariで実現するには、

  • 通常は[Safari]メニュー>[環境設定...]>[セキュリティ]の項で[受け入れない]を選択しておき、どうしてもCookieを利用しなければならない場合だけ[訪問したページのサーバからのみ受け入れる]を利用する。可能な限り[常に受け入れる]は選択しない。
  • Cookieが有効期限がセッション限りか短期間の場合は、上述の通り。もしくはサービスの利用を終えたら[Safari]メニュー>[Safari をリセット...] を実行する。
  • Cookieの有効期限が長期間の場合には、以下2つのどちらかを行います。
    • 上記の[セキュリティ]の項で[Cookie を表示]ボタンを押すと現れるダイアログを利用してCookieを選択して[取り除く]、もしくは[すべてを取り除く]を利用する。
    • Safari]メニュー>[Safari をリセット...] を実行する。

の様に実行します。


現時点では、前述の1. のヘチマコンピュータさんによるCookieMonsterFixを利用するか、Safari以外のwebブラウザを利用するのが簡便で確実な対処かと思われます。

追記:2003.11.20 18:50

3. で書いたようなCookieの管理をせずにいて良いと言いたい訳ではありませんが、下記のヘチマコンピュータさんによるCookieMonsterFixのページの文章、及びここの日記の 『再掲:SafariにCookieが漏洩する脆弱性』と同様の脆弱性を持つであろう、WebKitを使用しているアプリケーションに関しての一時的まとめ にあるように、WebKitを使用するアプリケーションに同様の脆弱性があることを考えれば、1. のヘチマコンピュータさんによるCookieMonsterFixを利用するのがもっとも的確な対処ではないかと思います。

なお、ヘチマコンピュータさんによるCookieMonsterFixのページによれば、

Safariに限らずWebKitを使っているアプリケーションでCookie管理をWebKitに任せているものはすべて該当します(拙作 P_BLOG Agent で上記サイトのテストを実行したら漏えいが再現しました)。

とのことですので、Safari以外にもWebKitを利用したアプリケーションでも同様の脆弱性があるようです。

その様なアプリケーションを利用されている方々は十分にご注意下さい。

追記:2003.11.20 18:50
上記ヘチマコンピュータさん以外の各所でのコメントなどを、『再掲:SafariにCookieが漏洩する脆弱性』と同様の脆弱性を持つであろう、WebKitを使用しているアプリケーションに関しての一時的まとめ としてまとめてみました。

[][] APCのUPSで電源復旧後にリブート

Solaris+PowerChute network shutdownのサポート情報を漁っていたら目に付いたので自分メモ。

別にMac OS X (Server) なマシンにAPCのUPSを繋げて使ってる訳じゃないんですが。

ただ、結局は「停電後に自動的に再起動する」を使うのね。ふむふむ。

[] 2本指で使える手のひらサイズのキーボード--米アップルでもバンドル?(CNET Japan)

おいおい。FrogPad のバンドルなんて検討する前にマウスを2ボタン+スクロールにしろよ>Apple

[][] Apple Safari 1.1 (v100) (bugtraq)

以下の内容は古いので 再掲:SafariにCookieが漏洩する脆弱性 をご覧下さい。

後で検証するための自分メモです。

昔、MozillaとIEにあったcookieを抜かれちゃう穴がSafari 1.1 (v100) にもあるらしい、ってことみたいだが。


追記

って、俺、まだPanther入れてないんだった ............ _| ̄|○ .............

どなたか検証お願いします...。

DayTripperDayTripper 2003/11/19 14:16 検証にはほど遠いけど、ざっと試してみました。抜かれますねぇ……。

vm_convertervm_converter 2003/11/19 14:21 有難うございます。_o_ では気を付けましょう>Pantherな方々

通りすがり通りすがり 2003/11/19 19:37 1.0

通りすがり通りすがり 2003/11/19 19:39 1.0(v85.5)でも抜かれます。上のゴメンナサイ。

vm_convertervm_converter 2003/11/19 21:08 有難うございます>通りすがりさん 私の手元でもMac OS X 10.2.8上の1.0 (v85.5)で抜かれる事を確認致しました。

vm_convertervm_converter 2003/11/19 21:09 よって、Jaguarな方々も気を付けましょう。

ヘチマヘチマ 2003/11/20 01:01 Jaguar対応(のはず)CookieMonsterFix1.0.1公開しました。報告ありがとうございます(_ _)

vm_convertervm_converter 2003/11/20 01:12 10.2.8+Safari 1.0 (v85.5)で正常に動作する事を確認しました。こちらこそ迅速な対応を有難うございます。_o_ 上の文章は今から直します。あと、一応メールも。(^^;;

shiroshiro 2003/11/20 12:42 今朝の SecurityUpdate 2003-11-19 で Safari が置き換えられているのですが、この問題直ってます? ひょっとして。

vm_convertervm_converter 2003/11/20 12:52 まだ私は検証できてないです。>shiroさん

DayTripperDayTripper 2003/11/20 13:35 PantherのSafari (v100.1) でチェックしました。直ってませんね……。

vm_convertervm_converter 2003/11/20 16:19 Mac OS X 10.2.8にSecurity Updateを当てたらSafariが起動しなくなった...。どうせ10.3入れるからこの環境はステなんですが、Safari 1.0 (v85.6) での検証もしたいのでbackupから10.2.6の環境なぞ引きずり出してきてたり。

vm_convertervm_converter 2003/11/20 16:20 v100.1 での検証報告、有難うございます。>DayTripperさん

magisystemmagisystem 2003/11/20 16:34 笑い事じゃないんですが、なぜか笑えます。>Mac OS X 10.2.8にSecurity Updateを当てたらSafariが起動しなくなった

DayTripperDayTripper 2003/11/20 17:45 なんか、上記<ins>閉じ忘れてませんか? IEで見たらえらいことになってます (汗)

vm_convertervm_converter 2003/11/20 18:22 おえぁ。確かに閉じ忘れてました>DayTripperさん 有難うございます。_o_ 変なものを見せてしまって済みません>all