■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね

そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。

• Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information
• Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test

CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。

このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも…

mhtmlスキームとHTTP302応答の組合せで、AJAXでおなじみのXMLHttpRequestやiframeなどでの読み込んだ内容が、セキュリティ上の要請で本来クロスドメインではJavaScriptでアクセス出来ないはずのコンテンツを、ひっぱり出すことが出来ちゃうよ、というお話。

CSSXSS脆弱性では、例えば、{、が被害者のページに含まれている必要がありましたが、今回の脆弱性にはそのような制限がありませんので、悪意ある者による攻撃が、よりたやすくなることが予想されます。

一番の肝は以下のようなものでしょうか？

以下のURLにアクセスする

http://secunia.com/ie_redir_test_1/

すると以下のようなURLにリダイレクトされる

mhtml:http://secunia.com/ie_redir_test_2

上のURLにアクセスすると、以下の被害者ページにさらにリダイレクト

mhtml:http://news.google.com/

表示は確かにニュース＠グーグルなんだけど、なんとアドレスバーが変化しないよ？以下のまんま。

mhtml:http://secunia.com/ie_redir_test_2

ためしに、ドメインの認識はどうなってるかとアドレスバーに以下を入れてみる。

javascript:alert(document.domain)

ありゃぁ、変なドメインだよ…どうなってるの？httpつきってどうよ？

http://secunia.com/ie_redir_test_2

そうか！ドメイン壊れてるから…

XMLHttpRequest いけちゃってるんですねぇ。iframeやbjectからもいけてしまっているみたいです。

下記は自作デモ(iframe要素版＆object要素版)

• http://stardust.s2.xrea.com/hatena/200606/s1.html
• http://stardust.s2.xrea.com/hatena/200606/tetstobjecthandler.html

私達庶民の対策。

• そもそも信頼できないページを見ない
• IE使わない
• アクティブスクリプトとAxtiveXを切る
• レジストリでmhtmlスキームのハンドラを殺す(OutlookExpressではメールが読めなくなる副作用があるかもです)

サーバ側の対策。……………… orz

悪名高い、はまちちゃんがさっそく、今回の件で危険度の高いデモンストレーションを行っています。

はまちちゃんによれば以下の情報を奪取可能とのこと

• mixi ログインで使うメールアドレス
• mixi ID
• mixi postkey
• mixi メッセージ
• 他のwebアプリケーションに登録してある情報と関連付け

危険なので、はまちちゃんの実証コードを見に行かないで下さい。

悪名高い、はまちちゃんが、CSSXSS脆弱性に関して4月度のWindowsUpdateに対応してバージョンアップしたデモンストレーションを行っています。はてなシステムと、オークションなどで使われるYahooID関連の情報の抜き取り関連です。当然のことながら、IPアドレスで組み合わせれば、個人の情報を追跡することが可能です。mixiではsnsということもあり安易に個人情報を書いている人もいますがこれらと紐付けられることによりかなり危険なことになります。

バージョンアップの内容は、予想した通りでした。verが301回も更新したあたりで密かに笑いました。 関連：http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

危険なので、はまちちゃんの実証コードを見に行かないで下さい。