所謂CSSXSS脆弱性の現況および注意点 このエントリーを含むブックマーク

いわゆるCSSXSS脆弱性にはSecurityUpdateが出ている

CVE-2005-4089の、いわゆるCSSXSS脆弱性は、既にMS06-021によってFIXされています。ユーザが通常の使い方をしているのであるならば、ほぼ安全であると考えられます。

本日若干調べたところ、若干の懸念材料が発見されましたのでご報告申し上げます。但し、以下に説明することがらは、通常の使い方をする限りにおいては発生せず安全であり、脆弱性にはあたらないものと考えられます。

MS06-021パッチ後のIE6の挙動で注意すべき点

私の手元の環境でしかTESTしていませんので、念のために、実験ページを提供させて頂きます。なお、手元の環境は、IE6 on XPsp2 全パッチです。

実験ページをアクセスするにあたって、あらかじめ、 http://stardust.s2.xrea.com を、信頼済みサイトゾーンにしてやってください。なお、信頼済みサイトゾーンのセキュリティレベルは、インターネットゾーンの既定値の「中」に引き上げてあっても結構です、実験には影響が出ません。実験ページは以下にあります。

実験ページが表示されたら、showボタンを押下し、5秒ほどお待ちいただきますと、http://b.hatena.ne.jp/t/%7b のコンテンツがtextarea内に表示されるはずです。

stardust.s2.xrea.com をインターネットゾーンにしてある際には、いわゆるCSSXSS脆弱性は発動しません。これは、MS06-021があたっているからです。

5月度におけるSecurityUpdateまでをフルパッチではこの実験ページでCSSXSS脆弱性が発動していました。一部に5月度まででCSSXSS脆弱性が修正されたかのようにみえるという観測もありましたが、本日記その他でも警告されたように外部スタイルシートファイルをリダイレクトすることにより脆弱性は残っていました。興味ある方はHTTPのヘッダーの流れを観測すると良いでしょう。

この実験ページをローカルマシンにダウンロードしてアクセスするとどうなるか?あえて、ローカルマシンであるがゆえにセキュリティ上ブロックされているアクティブコンテンツを情報バーのクリックにより許可してやればCSSXSS脆弱性が発動します。もしくは、別途あらかじめ、インターネットオプションの詳細設定によりマイコンピュータのファイルでのアクティブコンテンツの実行を許可してあっても同様に発動します。XPへの移行導入時に、あえてこのインターネットオプションを許可するように設定をしたことがあるのならば要注意です。当時、そのようなtipsがたくさん出回っていたことを思い出します。イントラネット関連のアプリで不具合がばんばん出た頃でした。念のために検査しておくことをお勧めします。

まとめると以下のようになります。

罠ページがローカルマシンゾーン
アクティブコンテンツの実行を許可でCSSXSS発動
罠ページが信頼済みサイトゾーン
CSSXSS脆弱性発動
罠ページがインターネットゾーン
MS06-021 により恐らく問題なし。それ以前ではCSSXSS脆弱性発動
罠ページがイントラネットゾーン
MS06-021 により恐らく問題なし。それ以前ではCSSXSS脆弱性発動
制限付きサイトゾーン
以前より既定値では問題なし。

信頼済みサイトゾーンに罠ページがある時点で既に駄目なのであって、そういう事態は運用で配慮すべきでしょう。CSSXSS脆弱性に限らず、このような事態になれば負けと言えます。それゆえ、上記の挙動は脆弱性にはあたらないことでしょう。

えたいのしれないところからダウンロードしてきたHTMLファイルなどをアクティブコンテンツ実行許可の上で開いている時点で既に負けと言えます。そういう運用はしないでしょう。アクティブコンテンツ実行許可を禁止してあっても、悪意あるソフトのダウンロードをして付属の取り説HTMLを開いてしまうと、あるいはアウトかもしれません。というのは、悪意ある人は、ダウンロードさせたローカルHTMLを信頼済みサイトゾーンの権限で被害者に開かせることが出来るからです。

実験終了にあたって

stardust.s2.xrea.com をインターネットゾーンにもどしてあげてください。;-)