現在地 HOME > 掲示板
> IT4 > 512.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 512.html
★阿修羅♪
|
|
■IEの新セキュリティーホールとはてなダイアリーXSS対策【セキュリティーホールmemoに出てたメモ】
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031216_IE
(hoshikuzu|stardustの書斎, 2003.12.15)
Internet Exploer は CSS の扱いにおいて、@import だけではなく @i とか @im とかだけでも @import と同様に扱ってしまうという話。また @impor\0t (\0 は NULL コードのつもり) のように NULL コードが途中に入っていても、@import と同様に扱ってしまうという。このため、各所の
web メールや掲示板、blog ものなどで、この状況を悪用した script 挿入が可能となる可能性がある。はてなダイアリーについては、いちはやく修正されたそうだ。 (手元で検証した結果、欠陥があるのは IE 6 のみのようだ。後述) 日本の各WEBMailサービスにも出来るだけの手はうちましたが、しっかりした返答があり、私のexploitを詳細に聞いてきたのは、たった2社だけでした。MicrosoftとYahooです。この2社には本当に感謝いたします。
逆に言うと、Microsoft と Yahoo! くらいしか本気な組織はない、ということなのだろう。 XSS対策については、JPCERTは報告用の窓口がありません。従来、JPCERTに連絡しても、何も解決しませんでした。個人が広範なシステムにかかわる脆弱性を発見しても、公的には、どこからも、サポートを期待できないのです。 (中略) それよりも何よりも、私が訴えたいことは、脆弱性の発見を報告できる公的な窓口、コーディネートをしてくれて、適切に各ベンダ、企業、団体に連絡をしてくれる機関、を求めるものです。
魂の叫びだよなあ……。しかし実際問題として JPCERT/CC はやる気はないようなので、どうすべきなんでしょうねえ。国内ベンダとの脆弱性情報の流通手順に関するワークショップ (JPCERT/CC) をやるときに、そういう方面についても含めるべきだと思うんですけどねえ。 2003.12.16 追記:
手元で試してみました。 ○は欠陥なし、×は欠陥ありです。
IE 6 もうだめぽ……Mozilla、お前もか……Safari もか……。 2003.12.17 追記:
水無月ばけらさんから、NULL については Mozilla でもダメなのでは (テストページ) という指摘を受けた (ありがとうございます)。確かに Mozilla 1.5 でも発現する。 だめじゃん > Mozilla。表↑を修正。また手元のテストページにテスト項目を追加した。_o_
備前さんから、Safari 1.1(v100.1) では NULL 直埋めが×になるとの情報を頂いた (ありがとうございます) ので表↑を更新。
題名には必ず「阿修羅さんへ」と記述してください。