■
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね
そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。
- Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information
- Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test
CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。
このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも…
mhtmlスキームとHTTP302応答の組合せで、AJAXでおなじみのXMLHttpRequestやiframeなどでの読み込んだ内容が、セキュリティ上の要請で本来クロスドメインではJavaScriptでアクセス出来ないはずのコンテンツを、ひっぱり出すことが出来ちゃうよ、というお話。
CSSXSS脆弱性では、例えば、{、が被害者のページに含まれている必要がありましたが、今回の脆弱性にはそのような制限がありませんので、悪意ある者による攻撃が、よりたやすくなることが予想されます。
一番の肝は以下のようなものでしょうか?
- 以下のURLにアクセスする
- http://secunia.com/ie_redir_test_1/
- すると以下のようなURLにリダイレクトされる
- mhtml:http://secunia.com/ie_redir_test_2
- 上のURLにアクセスすると、以下の被害者ページにさらにリダイレクト
- mhtml:http://news.google.com/
- 表示は確かにニュース@グーグルなんだけど、なんとアドレスバーが変化しないよ?以下のまんま。
- mhtml:http://secunia.com/ie_redir_test_2
- ためしに、ドメインの認識はどうなってるかとアドレスバーに以下を入れてみる。
- javascript:alert(document.domain)
- ありゃぁ、変なドメインだよ…どうなってるの?httpつきってどうよ?
- http://secunia.com/ie_redir_test_2
- そうか!ドメイン壊れてるから…
- XMLHttpRequest いけちゃってるんですねぇ。iframeやbjectからもいけてしまっているみたいです。
下記は自作デモ(iframe要素版&object要素版)
- http://stardust.s2.xrea.com/hatena/200606/s1.html
- http://stardust.s2.xrea.com/hatena/200606/tetstobjecthandler.html
私達庶民の対策。
- そもそも信頼できないページを見ない
- IE使わない
- アクティブスクリプトとAxtiveXを切る
- レジストリでmhtmlスキームのハンドラを殺す(OutlookExpressではメールが読めなくなる副作用があるかもです)
サーバ側の対策。……………… orz
20060429追記
悪名高い、はまちちゃんがさっそく、今回の件で危険度の高いデモンストレーションを行っています。
はまちちゃんによれば以下の情報を奪取可能とのこと
危険なので、はまちちゃんの実証コードを見に行かないで下さい。
追記終わり
20060429追記2
悪名高い、はまちちゃんが、CSSXSS脆弱性に関して4月度のWindowsUpdateに対応してバージョンアップしたデモンストレーションを行っています。はてなシステムと、オークションなどで使われるYahooID関連の情報の抜き取り関連です。当然のことながら、IPアドレスで組み合わせれば、個人の情報を追跡することが可能です。mixiではsnsということもあり安易に個人情報を書いている人もいますがこれらと紐付けられることによりかなり危険なことになります。
バージョンアップの内容は、予想した通りでした。verが301回も更新したあたりで密かに笑いました。 関連:http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS
危険なので、はまちちゃんの実証コードを見に行かないで下さい。
追記終わり
20060430追記:はまちちゃんトラップページからこの日記に来た人が1000名を超えるかも(汗 それに比べて、たとえばセキュmemoさんから来た人が半分ぐらいなんです。orz はてなブックマークで警告しましたが蟷螂の斧でしたか・・・踏んだ人は怖いものみたさなのですかねぇ。Opera使いの人ははまちちゃん罠ページでブラクラにはまったハズなので…なんともはや。罠周辺でうろちょろしていてamazonに預けてある実名かもの個人情報を抜かれている人もいたりして、ダメダメ。