■
■IEのダウンロード警告回避につながる脆弱性発見
リモートの攻撃者がセキュリティ警告を回避して、不正なコンテンツをダウンロードさせてしまうことが可能だということです。下記にて知りました。
- ITmedia エンタープライズ:IEのダウンロード警告回避につながる脆弱性発見
- http://www.itmedia.co.jp/enterprise/articles/0501/15/news007.html
上記記事中に、外部のオジェクトを別のHTML文書に挿入するためのHTML要素である「createElement」という別の機能と組み合わせ
という表現がありますが疑問です。「createElement」などという要素はありません。
それはともかく、大元の発表はどこにあるのかというと、以下にアーカイブがあるようです。
- IE on Windows XP(SP2) Remote File Download Information Bar Bypass
- http://marc.theaimsgroup.com/?l=full-disclosure&m=110569119106172&q=raw
内容をみましたが、正直なところ、どういうバグなんだろう?と驚きました。デザインがめちゃくちゃなのかしら?と。こんなことしても普通は攻撃手段になんかならないはずなのに。雰囲気からすると変種がいっぱい出そうではあります。登れることがわかれば別ルートからの登頂を試みる人は多いでしょうから。
上記日本語記事ではわかりにくいので発見者の報告から引用しておきます。
While trying to download a file Microsoft Internet Explorer the user gets the information bar. The information bar mechanism blocks/catches all references to download-able files, even through javascripts and HTML Event properties.
However Microsoft's Internet Explorer (SP2) DOES NOT CATCH "body" tag with the HTML "onclick" event which dynamically created "iframe" tags. For a good, more complicated dynamic object creation i used the "createElement" function.
This way an attacker can make a user download a file with him just clicking anywhere on the page (not on an hyperlink).
ところで発見者のRafel Ivgi氏(別名The-Insider)は、イスラエルのセキュリティー関連の会社、Finjan の技術部門のスタッフのはずなのです。Finjan の脆弱性発表ポリシーは結構固くて、ベンダーさんに通知して対策が出てからでないと公開しないはずなのですよ。なので、今回の脆弱性発表の勢いについてはよくわからない、という感想を持ちました。まぁあんまり役に立たない感想ですけれど。
ユーザの自衛策は、いつもの通りですね。インターネットゾーンのセキュリティー強度は「高」にして、信頼済みサイトゾーンの強度は「中」にして、、というわけですね。今回のこれはかなり危険度が高いかもしれないので気をつけましょう。
■IEのダウンロード警告回避につながる脆弱性発見(その2)
追記することにしました。
- XP SP2のIEにセキュリティ・ホール,警告なしにファイルをダウンロードさせられる : IT Pro ニュース
- http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050117/154841/
さすがは勝村さん。記事は正確でわかりやすいし(初心者でもできる)自衛策を必ず書いているし、もう素敵すぎます。ファンです。素晴らしい。なので追記していたりします。
ばけらさんからもコメントを頂けて嬉しいです。おっしゃられる通りでして、意味がよくわからない記事を読まされたのでPoCをじかに見にいってようやく納得したのでした。私も納得したところをきちんと書くことが出来れば良かったのですが、そうせずに放置、そこを、ばけらさんにきちんと補っていただいて感謝しきりです。ありがとうございました。
さらに追記
コメントを頂戴したGANさんのサイト(日記)は面白くて為になるので更新をいつも楽しみにしています。コメントを頂き、ありがとうございました。ISSがアドバイザリーを出すほどのものでもないと思うけどな〜
ということなのですけれど、ちょっと謎な部分がありまして、私は判断を差し控えようと思っています。まだ全容が出ていないのかもしれないと。私、深刻に考えすぎかもしれません。今のところ(18日)SECUNIAからは何も出ていないようでした。これもまたちょっと不気味なんです。もっとスッキリしたいところです。今はまだモヤっとでしょうか。(汗)
