Safari に Content-type を無視するクロスサイトスクリプティング脆弱性

アップルのwebブラウザSafari は サーバから送られてきた Content-type: を無視します。その結果、プレインテキストを HTML としてレンダリングしてしまいます。 悪意ある者は HTML 記述を含む テキストファイルで XSS攻撃をしかけることが可能になっています。テキストファイルのはずの何かのログを参照したら仕掛けが動いてしまった、など、シャレになりません。

xpSP2 より前の Windows プラットホーム でも IE6は同じ症状を抱えていてXSSの側面において脆弱でありましてよろしくないことがしばしば指摘されていましたが、まさか、Safari までとは。ちょっと関係ないけどこんなのも出てました。(以下のurl)FirefoxOperaの方が挙動としては正しいです。

Microsoft Outlook Web Access URL Injection

A vulnerability in Microsoft Outlook Web Access allows malicious attackers to redirect the login to any URL they wish.

This allows the attacker to force the user to the site of the attackers choosing enabling the attacker to use social engenering and phishing style of attacks.

ふぅむ、おどろくほど簡単なPoCですね。その上ドットレスですか。パッチはありません。っていうか、Microsoftさんのお話しですと、plan to fix it in the next major release of Exchange.なのだそうで、次のメジャーリリースはいつなのでしょう?

自作機の部品、ちゃくちゃくと揃え中。

自作機、どうも水曜日までに完成しないような気がしてきました。液晶ディスプレイとあわせて総額12万円(XPSP2インストール込み)。うぅむ。できあがっても動画などを焼くような機械にはならない予定ですが。230Wぐらいか。予算が足らなくてHD1台というのがちょっと悲しい。あまり熱が出ないようになればいいなぁ。FANがちょっとうるさくなるかも。