■脆弱性てんこもり

ニュースが流れた

セキュリティーホールＭＥＭＯとスラッシュドットジャパンで脆弱性てんこもりサイトのニュースが本日流れました。反応もあちこちで。なんと言いましょうか、色々考えさせられます。

IE特有のコメントにてスクリプト要素のフィルタリングが阻害される件

某所のコメントにも書いてありましたのでちょっと追いかけました。まず、HOTMAILは7月20日頃対処されていて現在は脆弱ではありません。先行して海外セキュリティー系のMLにのっていた模様です。次。はてなダイアリー。現時点で大丈夫です。以下は近いかもしれませんが関連して直っているものと思われます。
http://d.hatena.ne.jp/hatenadiary/20040706#1089078354
但し、正確にはわかりません。上記海外のセキュリティー系MLをご覧になって最近になって修正していたかも知れません。

この脆弱性はWEBアプリケーションで見逃しがちなので要注意かも。公的な機関が呼びかけてくれると嬉しいなぁ。

不正な画像アップロードによる危険性関連

はてなでは対策完了とのコメントが発表されています。迅速なる対応に驚いております。さすがですね、近藤さん達。

exploitを紹介するページがクローズになりました。IPAを通じて対処するとのこと。これを受けまして私の日記に書いてあった対抗策も、脆弱性の詳細を推察できる部分が多々ありましたので残念ながらカットいたしました。ご了承下さい。

不思議なexploit

話題になったてんこもりサイトの某exploitでは、文字列に「|」が使われていました。凄く不思議なのですが、、、こんな事例はみたことがありません。追求するのはやめます。近々XSSは塞がれるはずですし、ゆっくりじっくりと調べるヒマがありません。でも気になるなァ。不思議だなァ。今日は新しいことづくめでした。

ひっそりと

多量のexploitを見せられて頭がくわんくわんとしています。私的にはこれらについて明日以降いじくることはないでしょう。恐らく。今日の日記に書いただけで既にヘバッテいますし。ひっそりとしていようっと。