■
■いったいこれのどこが脆弱性なのかわかりません
IE6 JavaScript 'Ghost' Security Flaw Discovered
脆弱性とは思えなかったので。ネタ的に取り上げてみることにします。
- Enterprise IT Planet | IE6 JavaScript 'Ghost' Security Flaw Discovered
- SeniorenNet | WARNING: Javascript bug IE 6
上記でExploitとされるのは以下の通り。はたしてどこか危険でしょうか?
The JavaScript IE 6 exploit:<script type="text/javascript"> function init() { document.write("The time is: " + Date() ); document.close(); } window.onload = init; </script>
※引用にあたってtype属性にtext/jscriptとあったのをtext/javascriptになおしました。document.closeも追加。でないとmozilla系でスクリプトがまともに動かないので。
document.writeしてしまえばDOMの洗い換えと言いますか総とっかえになります。この時にIEでは、表示(v)メニューからソース(c)にて新しく生まれ変わったDOMに相当するHTML?を表示します。Operaでは何も表示しません。Firefoxでは洗い換え前のソースを表示します。報告者であるPascal Vyncke氏は、IEにせよOperaにせよソースが表示されないのはけしからん、javaScriptが実行されているのにソースを見てもわからんではないか、Operaでは単なるバグだがIEでは危険だ、と言うわけです。
私見ですが・・・これって本当に脆弱性なのでしょうか?趣味の問題ちゃうの?何か危険なことが発生するの?という気持ちがしてなりません。
'Ghost'の所以(ゆえん)
報告者Pascal Vyncke氏は、ソース表示上でJavaScriptがどこかに消えうせた、幽霊のようだ、という意味合いを込めて、上記現象を“JavaScript Ghost bug”と呼んでいます。
私は、脆弱性がどこにあるのかわかりませんので、やはり"Ghost"と呼びたいです。・・・相手が日本語読める人ならメールするのですがねぇ。
■MSXML 3.0 の SP5 は古いから SP7 の適用をせよですってぇ??
6月の定例WindowsUpdateの前にMBSAを走らせてみた
WindowsXPSP2に6月の定例WindowsUpdateをしようと思ったのですが、ふと思いついてその前にMicrosoft謹製の Microsoft Baseline Security Analyzer 1.2.1を走らせてみました。今回必要なパッチの一覧が出るはずです。さきほどWindowsUpdateで実際の更新はせずに必要アップデートの走査だけはしていたのですが、その結果とMBSAによる調査結果とは一致するはずです。MBSAでの表示方法も見ておきたかったのですね。
MSXML 3.0 の SP7 が出ている
MSXML 3.0 の SP5 が現在はいっております。MBSAの検査は昨日までなんら問題を検知していませんでしたが、月例パッチを迎えた本日、得られた結果の一部は以下のようなものだったのです。
MSXML のセキュリティの更新黄色の X 印が付いている製品は、使用している Service Pack が最新のバージョンではない、などの警告状態にあることが確認されました
結果の詳細情報 評価 セキュリティの更新 説明 理由 X MSXML 3.0 MSXML 3.0 SP5 この製品の最新の Service Pack がインストールされていません。 現在 SP5 がインストールされています。 最新の Service Pack: SP7. Service Pack が一覧に表示されている場合、始めに Service Pack をインストールしてから、他の項目をインストールすることをお勧めします。
しかしですね、ダウンロードセンターにはMSXML 3.0 の SP7など出ていないのですよ。WindowsUpdateでも明示された項目がありませんし。かなり謎です。確かに今回の月例パッチの一部でXMLまわりの修正が出ていることは知っていますが、はたしてMSXML 3.0 の SP5 を ユーザに知らせないまま SP7 に替えるのかと不思議でなりません。いったいどうしたことでしょう。
わからないのでWindowsUpdateは暫く見送ります。緊急がいっぱいあるけどねぇ、、とほほほ。
追記:rlyehさんによる調査
rlyehさん、有難うぅぅぅぅっっつ!!!・・・取り急ぎリンクさせて頂きます。
以下6/17追記
MBSAのデータベース更新でMSXML3.0SP7適用の警告表示が出なくなりました
XPSP2 に MSXML 3.0 の SP7 を適用せよという警告がでなくなりました。
| スキャン日時 | セキュリティの更新のデータベース バージョン | 評価結果 | 備考 |
|---|---|---|---|
| 2005/06/12 10:10 | 2005.5.19.0 | MSXMLに関する警告無し | 6月WindowsUpdate前 |
| 2005/06/15 20:28 | 2005.6.14.0 | この製品の最新の Service Pack がインストールされていません。 現在 SP5 がインストールされています。 最新の Service Pack: SP7. | 6月WindowsUpdateリリース直後 |
| 2005/06/17 8:43 | 2005.6.15.0 | MSXMLに関する警告無し | セキュリティの更新のデータベース バージョンアップ |
いずれも、『MDAC のセキュリティの更新』に関しては無警告でした。再配布用MDAC2.8SP1に入ってるMSXMLモジュールがSP7【Msxml3.dll 8.70.1104.0 2005/02/18 14:46 】(http://www.microsoft.com/downloads/details.aspx?FamilyID=78cac895-efc2-4f8e-a9e0-3a1afbd5922e&DisplayLang=ja)であることから、『MDAC のセキュリティの更新』との兼ね合いを気にはしていたのですが、一方においてMDAC2.8SP1は既にSP5レベルでXPSP2に含まれているため【Msxml3.dll 8.50.2162.0 2004/08/05 21:00】そもそも当初では単体再配布する必要がなかった状況もあります。(http://support.microsoft.com/?kbid=231943 )
リリース当時のXPSP2に含まれるMDAC2.8SP1のMSXML3.0のSPがSP5 であり、その後、再配布用MDAC2.8SP1のMSXML3.0のSPがSP7に引き上げられたことは間違いないと思われます。MDAC 2.8 SP2 for XPSP2 が早期にリリースされることを望みます。
『縦書き tDiary の人』である NISHIMURA Takashi さん、MBSAのデータベース更新にて警告が出なくなったことをトラックバックして頂きまして、まことにありがとうございました。
