■Yahoo!メールの各種脆弱性の修正完了

Yahoo!メールに3種の脆弱性がありましたが修正完了しました

問題の性質から直ちに発表しても差し支えありませんので公開いたします。

以下はIPAからの情報です。(一部伏字)

　- ------------------------------------------------------------------
  　このメールは、取扱い番号 IPA#37553132 に関する連絡です。
　- ------------------------------------------------------------------

○○○○○様

IPA セキュリティセンターです。

Yahoo メールの 3 件について、ウェブサイト運営者より、届出いただきまし
た脆弱性関連情報に対する修正が完了したとの報告がありました。

IPA#37553132-1：イメージブロックを回避可能な脆弱性
IPA#37553132-2：style 要素内の onload 属性等を利用した
                クロスサイトスクリプティング脆弱性
IPA#37553132-3：style 要素内の文字参照を利用した
                クロスサイトスクリプティング脆弱性

補記1:イメージブロック

Yahoo!メールには迷惑メール対策の為にイメージブロックの機能があります。ある種の方法でこれらを回避する迷惑メールを作成可能でした。

イメージブロック

メールの中身の安全性を確認してから画像を表示させることができます。

イメージブロック

悪意のある迷惑メール送信者たちは、HTMLメールにウェブビーコンをはるなどして、あの手この手でメールアドレスを収集しようとします。イメージブロックは、あなたのメールアドレスが迷惑メール送信者たちに漏れることを防ぐ迷惑メール対策の一つです。有効にしておけば、メールの安全を確認してから画像を表示できます。なお、迷惑メールフォルダに対しては、初期の状態では有効に設定されています。

ウェブ・ビーコン

メールのなかには受信者には見えないように小さな画像が含まれているものがあります。こういったものを、“インビジブルGIF”または“ウェブ・ビーコン”と呼びます。一度メールが開封されると、迷惑メール送信者はこの画像へのアクセスがあったことであなたのメールアドレスが「使用されている」ことを知ることができます。迷惑メールと思われるメールは、はじめから開封しないようにしてください。

※注 ウェブ・ビーコンはウェブ・バグとも呼ばれることがあります。主として悪徳業者があなたの使っているメールアドレスが有効かどうかを調べる道具になっています。また、あなたのメールアドレスを悪徳スパム業者が既知であったとしても、なおウェブ・ビーコンは有効です。特定のジャンルの件名のスパムなら開いてしまう、そんなあなたの特性を業者はデータベース化することでしょう。例えばダイエット食品に興味があるなどを知られてしまう可能性があります。ひとたび知られれば以後、健康食品詐欺のメールがさかんに来るようになるかもしれません。このようにマーケッティングされることはとてもイヤなことですから、ウェブ・ビーコン対策がなされているWebメールシステムは優れていると思います。

Yahoo!メールのこの機能は優秀でしたが、ちょっとだけ穴があいていたのでした。

補記2:style要素のonload属性等

また、Yahoo!メールでは style 要素の onload 属性という、虚(きょ)をついた常識に反する記法が許されており、一部ブラウザがこれを認識し、悪意あるJavaScriptのコードを作動せしめることが可能でした。これは私にとっては大きな驚きでした。style 要素の onload 属性など、まともにHTMLを手書きするような人なら恐らく先入観念があって思いつかないはずなんです。なんだよそれ？という気分でしょう。いえ、私が無知なだけかもしれませんが。ごめんなさい。instrinsic events が style 要素の属性として必要とはとてもとても思えません。Yahoo!メールの開発者の方々も、恐らく見逃していたものと思います。ブラックリストにのっていないか、あるいは、body要素より下のブロックしか onload属性を調査しなかったか、ということなのでしょう。なお、この件について気がついたキッカケは、知人Aの知人Bが、A宛てに「これってなんか変だけどどうよ？」とメールしたところ、Aが私宛に「興味深い」として連絡をよこしてきたものです。

補記3:style要素内の文字参照の検知

特に面白いものではありませんので省略します。