■
■WinIEでクリップボードの中身漏洩
当日記の■ Liu Die Yu have received the laptopで勉強不足の私が「クリップボードの中身があうあうあ〜」と言った件ですが、BugTraq:Internet Explorer and Microsoft clipboard poor security policyをようやく探し当てました。I have a very simple example posted:http://www.infinitybit.com/comsec/clippy.html
だそうなので、WinIEな人は何か無害なデタラメなテキストをコピーしておいてこのデモページを参照すると良いでしょう。クリップボードの中身がしっかり漏洩しています。execCommand("Paste")が考慮すべき限界を超えて【なんでんかんでん】貼り付けてしまう脆弱性という認識でいいのでしょうか。
上のdemoではわかりやすくするためにわざわざ表示していますが、hidden項目に貼り付けすることも原理的には可能です。何かの善意を装ったformで私達のクリップボードの中身がhidden項目にセットされ、気がつかずにsubmitすることにより盗まれてしまう危険性があるわけです。『のめしこき(新潟弁?)』な私などは良いターゲットとなります。というのは、ユーザ名のほかにパスワードを2回いれなさいというページを良く見かけますが私は1回パスワードを入れると2回目は1回目のコピペですましているからです。今までにこの種の罠にかかっていないとは、、断言できませんです。(だめだめ)
ブラウザサイドのユーザの自衛策はTo close this hole in ~7 clicks: Tools, Internet Options, Security, Internet Zone,Custom Level, Scripting, Allow paste options via scripting -> Disable.
だそうです。日本語で書いて欲しいぞ。(無理言ってごめんなさい)
というわけで私のようなタイプの人間には重大なセキュリティーホールです。
■追記:Multiple Vendor HTTP User Agent Cookie Path Traversal Issue
■ Multiple Vendor HTTP User Agent Cookie Path Traversal Issueには、komuraさんのご尽力にてかなりのデータを追記させていただきました。ありがとうございます。必読。
■KB823989ってなんだ。
Microsftのナレッジベース(kb)には番号がついていてその823989番がKB823989ということになるのでしょう。そしてそれは例えば日本語表記では、以下のURLで参照できます。
タイトルを見るとKB823989では823989 - PRB: Office Document Does Not Open When You Debug from Visual Studio .NET
ということらしいです。Visual Studio .NET でデバッグしたいんやけど、Office文書が開けないやんけ!という疑問に対するナレッジベースなんですね。そしてこの疑問への回答を読むと『仕様です』と書いてあります。これ、とりあえず覚えておきましょう。KB823989はVisual Studio .NETの仕様の説明です。けっして何かの不具合の説明でもなければウイルス対策文書でもなんでもありません。
■KB823989ってなんだよぉぉぉ。
Microsftの公式なNewsgroupのひとつに、microsoft.public.windowsxp.security_adminというものがあります。どうやらあまり過去ログが残っていなくて現段階では2003年12月くらいまでしか遡れません。投稿数は多いのですが、件名が『Can you help me?』みたいのばかりで、過去ログから必要な情報を探し出すことが難しいなぁと感じられます。ところでこのニュースグループにはたとえばhttp://www.derkeiler.comなどにミラーがおいてあります。ミラーからならある程度昔の記事も読むことが可能です。しかも、googleで検索が出来ます。KB823989について調べてみますと以下のようなやり取りが見つかります。
- Does WindowsXP-KB823989-x86-ENU.exe works on the Home Edition?
- http://www.derkeiler.com/Newsgroups/microsoft.public.windowsxp.security_admin/2003-08/10011.html
Does WindowsXP-KB823980-x86-ENU.exe (Fixing W32.Blaster.Worm)works on an Windows XP Home Edition?
- (勝手訳)Blasterとか言うワームに効くとやらのWindowsXP-KB823980-x86-ENU.exeなんじゃが、XPのHome Editionでも無事に動きますかぃのぉ?
- Re: Does WindowsXP-KB823989-x86-ENU.exe works on the Home Edition
- http://www.derkeiler.com/Newsgroups/microsoft.public.windowsxp.security_admin/2003-08/10098.html
Windows XP 32 bit Edition includes XP Home, XP Professional and XP Corperate editions. So yes that will work on home edition just fine.
- (勝手訳)んだべし。XP Home は、XP Professional とか XP Corperate editions とかと一緒で Windows XP 32 bit Edition の仲間じゃけんのぉ、きっとうまくいくんじゃないかのぉ。
_| ̄|○ このふたりのやりとりに親切にツッコミいれる人は誰もいなかったのでしょうか?
- 参考:当日記におけるKB823989関連記事:
- Microsoftをかたった偽メール(ウイルス付):Microsoft Security Update KB256746
- http://d.hatena.ne.jp/hoshikuzu/20040201#KB256746
■つかKB823989ってなんだよなんだよぉぉぉ。
日立ディスクアレイ SANRISEシリーズ:導入済みのお客様(セキュリティ情報)2003-08-20より引用させて頂きます。(3/15追記:この引用の元文書は訂正されることとなりました。迅速な日立さんのご対処に感謝申し上げます。)
既にニュース等で御存知の通り、Windows2000/XP/NT を対象といたしましたWormプログラム、W32.Blaster.Wormおよびその亜種が現在全世界的に蔓延しております。
弊社のSANRISE9900Vシリーズではそのサブシステム管理装置(SVP)としてWindows2000を搭載しており、外部からの管理のためLANに接続することが可能となっております。
万一、本Wormに感染しますとSVPが再起動を繰り返すという現象になる危険がございます。
・・・中略・・・
次の対策作業を、弊社保守員が実施させていただきます。
感染の有無を確認した上で、未感染であればマイクロソフト社より提供されている対策パッチ(Windows2000-KB823989-x86-ENU他)を搭載します。本パッチにより今回問題となっている脆弱性はカバーされます。
万一感染していた場合は、その状況に応じて駆除もしくは感染SVPの交換を行ないます。
_| ̄|○、、現場保守員の方、がんばったでしょうねぇ。
きっとSANRISE9900Vシリーズのサブシステム管理装置の中の人がVisual Studio .NET でデバッグ時に、Office文書が開けるようになったと思います。
なお、「windows-kb823989-x86-enu.exe」はいわゆるトロイの木馬です。バックドア的に使われるのでしょう。現在非活動的であっても危険です。下記に情報がありますのでご参考まで。
- TrojanDropper.Win32.ExeBundle
- http://www.pestpatrol.com/
- TrojanDropper.Win32.ExeBundle.2x.b(亜種です)
- http://www.pestpatrol.com/pestinfo/t/trojandropper_win32_exebundle.asp
- TrojanDropper Family
- Virus Encyclopedia(http://www.viruslist.com)
- http://www.viruslist.com/eng/viruslist.html?id=58347
3/15 18:00 追記
日立さんにより上記にて引用した文書は迅速に訂正されております。ありがたいことです。「windows kb823989-x86-enu.exe」を検索エンジンで調査したときに、日立さんの文書が目立つところでヒットしておりましたので、【日立さんもしているのだから安心のようだな】と考える一般ユーザが現れることもなくなることでしょう。
kb823989ではなく、kb823980のtypoであり、しかも、このtypoは上記引用の文書のみにおけるものだとのことです。日立さんの保守員による現場対応のマニュアルでは正しくMicrosoftさんのサイトからダウンロードされた正当なものを使用していることを確認して頂きました。従いまして、バックドアの拡散はなかったことになります。私の心配しすぎでした。お詫び申し上げます。
