IEのダウンロード警告回避につながる脆弱性発見(その3)

あてにならない推測を書いておこうと思います。為になりません。

発見者のRafel Ivgi氏は、Finjanのスタッフであるはずだと、おとといの日記で書きました。Rafel Ivgi氏のサイトにそのように書いてあったからです。

ところで、昨年11月頃、FinjanがXP(SP2)にはセキュリティーホールがいっぱい(10個?)あるよ、と(海外でも日本でも)報道されて、「宣伝くさい。ガセじゃないのか?」などと、バッシングにあったことがあります。Finjanにしてみると、脆弱性があるよと、しかもMicrosoftには報告済みで対応を求めていると、そのように言っているだけですし、具体的なPoCなりアドバイザリーを出していないわけです。なのでウソくさい、と思われたかもしれません。Finjanは自社製品で、これらの脆弱性に対応していると言っているとも思いますしね。宣伝は宣伝でしょう。一足お先につぶしましたと。うちの製品使ってよと。PoCなりアドバイザリーなりをきちんと出していれば(あるいは0-day構わずにしていれば)バッシングされなかったのでしょうかねぇ?よくわからないのです。概略で、ほげほげな脆弱性があるよ、と言うだけなら、たとえば、eEyeさんもしてますよね。そことの違いはなんだったんだろうと。穴が10個もあるよとブチあげたもんだから、MicrosoftさんにSP2の商売の邪魔するなと、出足をくじくなと、クレームつけられたのだろう、そしてそのことが話題になってしまった、とは思います。一方、Finjanにしてみれば、それもこれも計算のうちだったかもと思いますし。ユーザを守るために具体的な話はしませんよ、具体的なPoC出さずに話題作りをしちゃいました、という流れだったんだと思うのです。

で、先日のFinjanのスタッフであるRafel Ivgi氏が個人の資格での発表につながるんですよね。これ、10個もあるよぉ、のうちのひとつなんです。昨年11月の以下の報道を見てください。

Finjanの、SP2に10個の穴があるよぉ報道である、上記から引用します。

Hackers can bypass SP2's .exe file notification mechanism

One of the mechanisms that have been implemented in SP2 is the verification of the download and the execution of content arriving from the Internet. This mechanism is implemented by three new features -- an information bar inside Internet Explorer which filters and blocks unauthorized operations performed by Web pages, a file download dialog which requires the user's confirmation for file save and execution operations, and an execution verification dialog. These features are important to prevent unauthorized silent "drive-by" installations of malicious software.

上の英文を読んで、今回発表のPoCと比べると微妙に味わいが違うのですね、思い過ごしかもしれませんけれど。こうなってくるとRafel Ivgi氏は、果たして全容を今回発表したのだろうか?あるいは、Finjanの許可なく発表したのか?どうして個人名義で発表したのか?など、不思議で不思議でたまらないわけです。full-disclosureMLでは誰からもツッコミがはいっていないのもなんとなく気持ち悪いんです。あまり面白くないネタですか?そうでもないと思うのですが。シマンテックは即反応したようですし。ISSも。

とまぁ、ここまでイイカゲンな推測をツラツラ書きましたが、とりあえず、一ユーザとしては、固唾を飲んでドキドキしているだけにしておきます。とかいいつつ、Finjanのサイトを見に行っていないのですからイイカゲンこの上なし、切腹。いえね、現時点でFinjanのサーバに接続できないんですよ、つぶれてはいないと思いますけれど。(キツい)

参考資料:米Finjan,「Windows XP SP2に10個の深刻なぜい弱性がある」と発表 : IT Pro US News Flash
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20041115/152564/
Microsoftの公式な反応が出ている記事:COMPUTERWORLD
http://www.computerworld.com/softwaretopics/os/windows/story/0,10801,98969,00.html

長いけれどちょっと引用します。(強調部分は私が編集)

Microsoft reacted strongly to the warnings, saying that the Bugtraq notice made false claims about Internet Explorer in Windows XP SP2, and claiming that the download blocking feature in that version of the browser is working as designed.

"Microsoft is disappointed that an independent security researcher has posted a false claim on several newsgroups alleging that the automatic blocking feature of Internet Explorer in Windows XP SP2 (also referred to as the Information Bar) fails to function properly. These postings are inaccurate and misleading to customers," the company said in a statement.

According to Microsoft, the issue described in the Bugtraq alert is not a security problem. In fact, Internet Explorer for Windows XP SP2 does display a security warning in the scenario described in the warning: a dialog box instead of the information bar.

"And that is what it is supposed to do," said Kevin Kean, director of the Microsoft Security Response Center. "We have examined the proof of concept code that he (Ivgi) included and analyzed that. Internet Explorer does what we would expect it to do, it brings up the dialog box for the download, there is no vulnerability," Kean said.

Microsoftさんの声明をせんじつめると、「今回の件は脆弱性ではない、あらかじめ定められた仕様である。(Rafel Ivgiのごとくの)研究者が発表している内容は不正確でありミスリーディングである。(SP2からの新実装の)information barがダウンロードについての警告を出さなくてもいいじゃないか、かわりに(従来通りの)ダイアログボックスが出るだろう。どこに脆弱性があるんだい?」

ええと、おっしゃられることはよくわかります。(汗)