魔術師

鳩が出ますよぉ〜(違う)

右手でトランプを今まさに飛ばしきった瞬間。観客の目はそちらに釘付けだが実はまさにこの時俊敏な左手は次なるタネをネクタイから取り出している。

【レポート】RSA Conference 2005 JAPAN - 何のための情報セキュリティ対策か (MYCOM PC WEB)より。

リンク元からクリックしてこのページにたどり着いて一目見た瞬間にこの画像をネタに日記を書こうと思ってしまいました。ハンサムだし似合いすぎです。背景も奇術ショー特有の色合いですし。(画像はイメージです。記事とは無関係です。)というセリフも思いつきましたが状況がちょっと違いますので断念。そう言えば本件とは無関係ですが直前に某所で「画像はもともとイメージ(画像)なのでそれがなんなのだ、微妙だ」という主旨のお話しを読んだばかりでで面白かったです。

誤報ではありませんか、NS総研さん

誤報?NetSecurity - Microsoft IEのHelp ActiveX Controlの問題によりWindowsセキュリティが回避される脆弱性が見つかる

05月17日 Microsoft IEのHelp ActiveX Controlの問題によりWindowsセキュリティが回避される脆弱性が見つかる

サイバーディフェンス社からの情報によると、マイクロソフト社のInternet ExplorerのHelp ActiveX Control(hhctrl.ocx)に、リモートから攻撃可能な脆弱性が見つかった。これにより、リモートから任意のコードが実行される可能性がある。これは設計上の問題である。Windows XP SP2とInternet Explorerの新しい累積的なセキュリティアップデートでは、アクティブスクリプトのセキュリティに関連する数多くの改良が行われている。ただし、設計上の欠陥を攻撃することにより、ユーザを不正なwebサイトにアクセスさせ、リモートから任意のスクリプトを実行することが可能である。

※この情報は株式会社サイバーディフェンス( http://www.cyberd.co.jp/ )より提供いただいております。 サイバーディフェンス社の CyberNoticeBasic サービスの詳細については下記のアドレスまでお問い合せください。

問い合わせ先: scan@ns-research.jp

情報の内容は以下の時点におけるものです
【15:44 GMT、5、13、2005】

以上はNetSecurity - Microsoft IEのHelp ActiveX Controlの問題によりWindowsセキュリティが回避される脆弱性が見つかるより。

今年の5/13時点でのサーバーディフェンスさんからの情報であると明記されていますし、それをNS総研さんは5/17に記事にしているわけですね?

しかしですねぇ記事そのものの内容を見ると、これは去年のクリスマスの話ではないかと思うのです。新しい累積的なセキュリティアップデートという言い回しもちょっと違和感があります。MS05-001でパッチが試みられ、MS05-013にて補正された脆弱性についてではないかと。ネタが数ヶ月ズレています。

同様に数ヶ月ネタ古し事件が過去に起きています。当日記4/6ですが。

何がどうなっちゃっているのいるのか是非真相が知りたいですねぇ・・・心配になったのでhhctrl.ocxの件を小1時間ぐらいかけて探し回りましたよ。何もみつかりませんでしたけれど。

BTW,はてなキーワードで5月17日ってなんで登録されているのやら。はて?

疑問:IEにDOCTYPE宣言とHTMLタグの間に偽のコメントを挿入することでセキュリティホール?

IEにDOCTYPE宣言とHTMLタグの間に偽のコメントですってぇ?

NS総研さんが流している次の情報にも今のところ首を傾げています。本当だったらかなり破壊力があるはずですがそのような気配はありません。ネタ元はどこなのでしょうか。

Internet Explorer-------------------------------------------------

Internet Explorer は、DOCTYPE宣言とHTMLタグの間に偽のコメントを挿入することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に情報バープロンプトを回避され、システム上で任意のコードを実行される可能性がある。

2005/05/18 登録

危険度:
影響を受けるバージョン:
6.0
影響を受ける環境:
Windows XP SP2
回避策:
公表されていません

以上はNetSecurity - セキュリティホール情報<2005/05/18>より引用。

本日付け登録の危険度が「高」の脆弱性のようですが他所で情報をみかけません。どうしたことでしょう。是非とも真相を知りたいところです。

ひょっとしたらXPSP2で導入され、仕様として定められているところの Local Machine Zone Scripting における"mark of the web"のことなのでしょうか。私の勘違いでしたら大変に申し訳なく失礼なことなのですけれど。

XPSP2 の Local Machine Zone はロックダウンされている為に旧来では動いていたはずのスクリプトが作動しなくなって困ったりしたことがあります。これはあらかじめ予想されている事態でしたので"mark of the web"という仕様が存在しているわけです。msdnMark of the Web にはあまり詳しく書いてありませんけれど、概略はわかると思います。

about:internetのMark of the Web(以下MOTW)ではローカルにおかれたHTMLがインターネットゾーンのサイトにおかれているものと同様にスクリプトが動きます。これはMOTWの仕様です。

同様に、localhostのMOTWをHTMLファイルに記述しておけば、イントラネットゾーンに相当する強い権限でスクリプトが動きます。例えば、以下のようなMOTWが考えられます。

<!-- saved from url=(0017)http://localhost/ -->

制限付きサイトゾーンでは例えば以下のMOTWです。

<!-- saved from url=(0000) -->

OutlookExpress6で添付ファイルとしてHTMLファイルを受信しまして、そのHTMLファイルをデスクトップに 保存しますと送信者の意図とは異なり以下のようなMOTWが強制的に付加され、制限付きサイトゾーンの 扱いとなります。

<!-- saved from url=(0022)http://internet.e-mail -->

いずれの場合も、あくまでもHTMLファイルをローカルマシンに置いた場合でして、この時の制御の為に MOTWが用意されているわけです。

なお、自分のコンピュータ内にあるHTMLファイルを信頼済みサイトゾーンの権限にてIEに解釈させる方法が あることにはあるのですがMOTWとは無関係です。場合によっては危険ですし良いことがありません。リモートからはコントロールできませんので問題はないと言えばないのですが・・・なにゆえこれで信頼済みサイトゾーン?と不思議な気分にはなります。変な仕様ですし必要ないとも思うのですが。