パスワードを忘れた? アカウント作成
1807 story

IEのダウンロードダイアログに致命的脆弱性 61

ストーリー by Oliver
n=>n+1 部門より

k3c 曰く、 "フィンランドのOnline Solutions社が11月26日に明らかにしたところによると、Internet Explorerでリンクをクリックするなどしてファイルをダウンロードするときに表示されるダイアログで「開く」を選択すると、ダイアログでは実行形式ファイル(*.exe)と表示されていないのになぜか実行形式ファイルがダウンロードされ、ローカルのコンピュータ上で警告なしに実行されてしまうというとんでもない脆弱性が見つかったようです。本家の記事によれば、HTTPプロトコルののContent-Type:ヘッダの扱いに問題があるようで、Webサイトの管理権限があればexploitは簡単に作れるようです。パッチは現在準備中(Newsbytesの記事参照)。パッチがリリースされるまでは、ダウンロード時のダイアログで表示される文書の種類(*.txt,*.pdf,*.gif,...)に関わらず、必ず一旦「保存」する必要がありそうです。マイクロソフトはこの件については現在のところノーコメントを貫いている模様。"

秘匿によるセキュリティに未来はない。事前に知らされながら黙殺しようとするベンダーにはセキュリティホールを公開して圧力をかけるしかない。たとえ一時的に多数のユーザ(今回のケースだと数千万人?)を危険に晒しても、そうしなければ企業はセキュリティを余分なコストとしかとらえないだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 自問自答 (スコア:3, おもしろおかしい)

    by kensama (2552) on 2001年12月13日 11時30分 (#46216) ホームページ 日記
    自問:
    うそだ~!
    致命的な欠陥って何度目ですか?
    IEには致命傷になってないような気がするのですが。
    もしかしてアレですか、
    「CMのあと、あの人が大変なことに!」
    とか、そんな感じですか。

    自答:
    それは違います。
    ユーザーに致命傷を与えるのです。
    「ボクIEです。全員ブッコロス!」
    って感じです。

    、、、その割にユーザーが減っていないような気がする。
    やっぱり致命的じゃないんじゃないの?
    使ってないからわからないけど。

    #わたしは何が言いたかったのかのでしょうか
    • >、、、その割にユーザーが減っていないような気がする。

      減った分、増えてるんでしょう。
      ……増えてたんでしょう。今までは。

      Windowsマシンを買ってきて、IEを使う。
      そのうち、嫌になって、他のブラウザに移る。
      (または、「インターネット」が怖い物だと思い知って、使わなくなる)

      一通り行き渡った後は、じわじわ減っていくのでは?
      個人的には、MSには減らさない努力をお願いしたい。ばら撒く以外の方法で。……「縛る」のも却下。

      実際のところ、IEのシェアは高いけど、稼動実数(あるいはアクティブユーザー数)の推移ってどうなんでしょう。
      親コメント
  • 拝啓、Microsoft さま (スコア:3, すばらしい洞察)

    by oku (4610) on 2001年12月13日 14時00分 (#46299) 日記

    最小のコストで quickfix する方法を以下に提案致します。

    いかなる content type に対しても dialog box でユーザに確認を求めるオプションを選択する。

    例:ファイル(F) → 開く(O) → http://www.msn.co.jp/

    次の場所からファイルをダウンロードするように選択しました。
    www.msn.com - default.htm

    このファイルの処理方法
    ( ) このファイルを上記の場所から開く(O)
    (*) このファイルをディスクに保存する

    [*] この種類のファイルであれば常に警告する(W)

    # これで全てはユーザ責任ですよ。:-)

  • by Transponder (6045) on 2001年12月13日 8時59分 (#46148) ホームページ 日記
    ファイルをダウンロードする際のダイアログの「詳細情報」をクリックすると
    ファイルをダウンロードする
    ファイルによっては、ウイルスが含まれていたり、コンピュータに損害を与えたりすることがあります。
    Web サイトから直接プログラムを実行したりファイルを開いたりしたときに、コンピュータの電源が切れたりほかのプログラムが終了した場合、現在開いているファイルの作業内容が失われることがあります。
    このファイルやプログラムをいったんディスクに保存しておくと、後で実行することができます。
    こんな事を書くぐらいなら、ダイアログのデフォルトボタンを「開く」ではなく「保存」にしてくれ!
    なんど、つい押してしまったことか・・・
    --

    # I will work seriously this year!

  • .htaccess に
    AddType text/html exe
    などとかいておいて、<A HREF="some.exe">
    と指定すれば、いいのかな。

    でも、ネタもとにもあるように、IE5.0, IE5.5, IE6.0 でそれぞれ微妙に動きが違うようです。うちでは .exe で保存しないで .htm になりました。

  • IE自体が致命的な欠陥であるというのは、もはや言及するまでもないのかな?
    --
    -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
  • by Anonymous Coward on 2001年12月13日 12時59分 (#46264)
    それじゃついでに。

    Excel2000で何か作って、
    「Webページとして保存」
    「選択範囲:シート」にチェック
    「対話機能を追加する」にチェック
    以上の状態で「保存」

    出来上がった「.htm」の拡張子を「.txt」に書き換える
    これをWebサーバーに配置してIEで開く

    普通ならHTMLでかかれたソースが表示されるはずだが?そうならない。
    「.txt」でも何か?が動くって確認できます。
    これだけなら、問題は出ないけど、ここから発展しそうな予感が・・

    見つけた当時にMSKKにこの話しようとして、合う約束までしたのにすっぽかしやがった。
    しかたなくHomePageから連絡先も探したけど何処にあるの?

    By シャム
  • MS はノーコメントを貫いている、ではなく 11/19 に報告したが MS によると「これは仕様である。信用できるファイルかどうかの判断はファイルの出元で判断すべきで、ファイルのタイプで判断するのは間違いである」との回答があって公開に至ったようですね。素晴らしい。MSN から Virus/Trojan をばらまいたことを考えると :-)
    • タレコミ本人です。ワタシが「ノーコメント」と書いたのは、Newsbytesの記事中の一文:
      A Microsoft spokesperson said the company does not currently have any information to share on the issue and declined to discuss the status of the browser patch.
      を読んでのことです。alpさんが触れているのはOnline Security社とMSの非公式の(といっても公開されちゃってますが(笑))やり取りの話で、公式にはノーコメント、と解釈しました。
      親コメント
    • 脆弱性ではない、とは言ってるけど

      It's not known whether a patch is going to be produced. Microsoft is currently investigating the issue.
      って書いてあるから、「ただのバグ」くらいには思ってるんじゃない?

    • っていうか、IEって元々HTTPのContent-Type:を無視する仕様じゃなかったっけ?
      • by kicchy (4711) on 2001年12月13日 10時09分 (#46179)
        無視はしない。
        画面でファイルの処遇を聞いてくるときの表示に使っている。
        # と思われる節がある
        audioだと思って開いてみたら・・・・
        ファイルをその後「WinExec」してるんじゃなかろうかと。
        そら、あきまへんって
        拡張子pifの音楽ファイルなんてないないscrもな

        NimdaとかAlizとか、TransBってこれ利用してるんだから
        既知の問題じゃないの?
        親コメント
        • by k3c (4386) on 2001年12月13日 10時41分 (#46194) ホームページ 日記
          Online Solutions社の記事では詳細はナイショにされているのですが、本家の記事もどうやらそういう論調ですね。つまり、
          1. ダイアログにはContent-Type:ヘッダのファイル名が表示され(「仕様」らしいが…)、
          2. 「開く」を指定するとダウンロードが行われ、
          3. その後ローカルに保存したファイルを「開く」時は、Content-Type:のファイルタイプではなく、ローカルのコンピュータの関連付けに従った処理が行われる
          ということでしょうか?

          Nimdaなどには感染したことがないので推測ですが、スクリプトやIFRAMEを使った処理の場合、ダイアログは(デフォルトのインターネットゾーンの設定では)表示されないので、気づかずに処理が行われてしまう…のですよね?そういう意味で、ダイアログでユーザーをだまして信頼させてしまえる今回の脆弱性は新しいものでしょう。
          親コメント
      • by nackey (3237) on 2001年12月13日 10時43分 (#46195)

        XMLのファイルをアップロード/ダウンロードするようなソフトを作っているときに大ハマりしました。

        どうも、IEは

        1. 拡張子を見る
        2. ファイルの中身(先頭の数ブロック?)を見る
        3. Content-Typeを見る

        という順序でファイルをどう扱うかを決めているような気配があります。

        XMLファイルをディスクにセーブさせたいので、拡張子は(ファイルタイプとして登録されていない)適当なものにして、Content-TypeをApplication/Octet-StreamなどにしてもXMLとして表示してくれるという大きなお世話を焼いてくれたと記憶しています。

        ほとんどは拡張子かファイルの中身で処理方法は決まってしまうわけで、Content-Typeを無視するというのはあながち間違っていないんじゃないでしょうか。

        親コメント
        • by Hebikuzure (489) on 2001年12月13日 16時40分 (#46360) ホームページ 日記
          どうも、IEは
          (中略)
          という順序でファイルをどう扱うかを決めているような気配があります。
          この件がどうであれ、Microsoftはプラットフォームベンダーの責任として、こういうロジックをちゃんと公開するべきだよなあ。
          何かある毎に手探りで想像しなきゃいかんってのは非生産的過ぎ。
          親コメント
        • どちらかっつうと、Content-Type で「のみ」判断すべきであって、拡張子を云々てな処理を入れているから問題が多発するんではないかしら。
          --
          みんつ
          親コメント
          • 最終的に text/html だろうが audio/wav だろうが PIF だろうが SCR だろうが (以下略)、Windows が「実行」(というか default のメソッドを選択する) 事に問題があるんではありませんかね?

            そうでなければ拡張子を見て云々なんてする仕様を考えなきゃいけない必然性がありませんから。

            親コメント
            • by G7 (3009) on 2001年12月13日 16時59分 (#46375)
              >Windows が「実行」(というか default のメソッドを選択する) 事に問題があるんではありませんかね?

              まったくその通りだと思います。
              デフォルトの動作は、非破壊的(ユーザーの何らかの情報を失わせたり変化させたりしない)
              かつ非窃盗的(ユーザーの何らかの情報を外界にコピーしない)な、
              たぶん「閲覧」とでも呼ばれるべきメソッドに、しておくべきです。

              仕事でここ数年、某OODB+それ用のGUIクライアントを扱っているんですが、
              こいつのクライアントでObject(を現すアイコン)をダブルクリック(など)をしたときに、
              そういう意味で破壊的な動作をデフォでするようなデータクラスは、
              最初から存在しないし、我々のカスタマイズでも作ったこと有りません。
              誰も(客も我々も)考えたこともないですね、破壊的動作を割り当てようなんてことは。
              そんな危なっかしくて使いにくいもの、誰も望みませんって。

              イントラネットな世界ですらこうなのに、なんでインターネットばりばりなWindowsが
              こんな阿呆な仕様がデフォなんでしょう?
              親コメント
              • by yoosee (196) on 2001年12月13日 17時44分 (#46396) ホームページ 日記
                なんでかって言うとよのなかの大多数はダイアログ出しても OK をすぐ押す人が多くて
                更にそういう人は OK 押すのも面倒がるから始めっから実行にしとけと思っている

                ....と MS が思っているからじゃないですかねぇ。

                コンピュータのコンピュータ処理の部分をユーザから隠す行為自体はユーザビリティ
                もあるので基本的にはさほど反対したくないんですが、だったら本当にユーザが
                何もしなくても安全で幸せに使えるようになっていないと駄目なわけで、現状ではまだまだですね。

                せめてオプションで設定を変えられるとかすればいいと思うんだけど。上級者用、かなんかのラベルつけて。
                親コメント
              • by Anonymous Coward on 2001年12月13日 22時39分 (#46482)
                >イントラネットな世界ですらこうなのに、なんでインターネットばりばりなWindowsが >こんな阿呆な仕様がデフォなんでしょう?

                インターネットエクスプローラーであると同時に、Windowsのシェルであるエクスプローラーである、っていうのが諸悪の根元かと。
                共通のエンジンを使い、なおかつインターネット用にセキュリティを強化してない。
                (単なる手抜きですね。)

                結果として、IEはブラウザではなく、(場合によってはリモート操作可能な)ファイルマネージャーになってしまっている。
                手抜きの結果、全く別なソフトになってしまってますね。(^_^;)


                と、ここまで書いてこれ [bbc.co.uk]を思い出した。
                「製品を低コストで提供することで成功したんだ。」 = 「手間をかけていない粗悪品を売りつけることに成功したんだ。」という意味なのかな。
                親コメント
          • どちらかっつうと、Content-Type で「のみ」判断すべきであって、

            これは全くその通りですね。

            拡張子(という言い方もローカルなんだが)とファイルの性質の対応(*.exeが実行ファイルで、*.docがMS-Wordのファイル、など)はWindowsの世界に限られたローカルなルールであるのに対し、Content-Typeでファイルの性質を表すというのはプラットフォームに依らないグローバルなルールです。IEの挙動はプラットフォームによらないルールをぶち壊して自分のルールを押しつけようとしていると言えます。Windowsと違う拡張子の使い方をするな、と言っているようにすら感じます。

            Webサーバの設定が不適切でバイナリファイルをtext/plainにしてしまっているサイトは多いのですが、それはまた別の問題ですね。もっともどのブラウザもContent-Typeに忠実に表示するようになっていたらサーバ管理者もすぐミスに気づくでしょうが。

            親コメント
          • by nackey (3237) on 2001年12月13日 12時37分 (#46255)
            はうぁ~。
            「Content-Typeを後回しにする」仕様はダメダメだというのは私もそう思ってます。
            #46179で「無視はしない」と書かれているので、「現実には無視してるも同然だよ」といいたかったわけで。
            読み返してみたら、「Content-Typeを無視するのは理にかなってる」としか読めねーんでやんの(笑) > 自分の#46195
            親コメント
        • (JScript ,Active Server Pages)で

          contentType='application/octet-stream';
          Response.AddHeader('Content-Disposition',"attachment; filename=hoge.xml");

          で、強制ダウンロードできましたよ?
          --
          raspy
          親コメント
        • by tomatsu (2545) on 2001年12月13日 19時49分 (#46444)

          拡張子に相当する部分のないURLに、XHTML文書を置くと、XMLツリーが表示されてしまう事があります。Accept:にapplication/xml+xhtml等が無いので、IEはXHTMLを知らない、と見なすのが適切かもしれませんが。

          IEのコンポーネントの他にも、ファイルタイプの決定に関わっている部分がある様で、IEのビルド番号とOSの組み合わせが同じでもHTMLと認識される環境とXMLツリーが表示される環境があります。

          ファイルの中身を見てくれるお陰で、拡張子やContent-Typeが誤っている画像ファイル等をうまく表現出来たりするのですが、その所為で正しい記述を勘違いするのは大き過ぎる代償。

          ファイルタイプ決定のプロセスに、付け加えると、

          • 最後が / のURLは、HTMLである可能性が高い事を知っている様だ。

          かな。

          http://とfile://を似た様な物とし過ぎているのがいけません。

          親コメント
  • by masquerade (6868) on 2001年12月13日 8時11分 (#46138)
    >たとえ一時的に多数のユーザ(今回のケースだと数千万人?)を危険に晒しても、

    ユーザーの何%が
    「わあ、なんて大変な脆弱性なんだ。」
    と思ってパッチを当てるんでしょうね?
    一時的な被害ですむんでしょうか・・・
  • みんな、webサイトからのファイルって直接開いてる?
    わたしは、どんなファイルであれ一回デスクトップとかに落としてから
    開いてます。というかそれが普通だと思ってた。(^_^;
    まぁプラグインで勝手に開くpdfとかはそのまま開いちゃってますが。

    IE6からデフォルトが「開く」になってるんでそういう人増えてそうだな。
    • by moegi (4780) on 2001年12月13日 9時47分 (#46171)
      私の場合、webサイトからのファイルを直接開くかどうかは、そのファイルタイプを見て判断することが多いです。 .txt .pdf .gif .jpgなどはそのまま開きますね。

      今回の問題は、長年 Microsoftがファイル名(拡張子)をみて ファイルの判断をするように薦めておきながら、その拡張子の詐称を許すようなブラウザをばら撒いてしまったことでしょうか。

      親コメント
      • by thor (5250) on 2001年12月13日 22時12分 (#46475) 日記

        最近のWindowsだと、MS-Officeのファイルは拡張子に関係なくExplorerからダブルクリックするとMS-ExcelやMS-Wordで開いてしまいます。ファイルの中身を見ているとしか思えません。なので拡張子を鵜呑みにするのは危険ですね。

        親コメント
    • 署名の無いファイルは、一旦ダウンロードしています。
      中には、"hogehoge.pdf(この間長いスペース).exeってやってるやからもいないとは、限りませんからね。

      オフトピになりますが、この種のワームは、メールの添付文書の方が多いです。(^^);
      親コメント
    • Officeでクリップアートに新しいファイルをダウンロードするときは、確実に「直接開く」にしています。
      しかも、わざわざIEで。
      普段はネスケ使ってるんですけど、M$のサイトなためか動きが変になるんだもん。
      だから、M$の「推奨」は、本気で「直接開く」なんだと思ってる。
  • by Anonymous Coward on 2001年12月13日 11時32分 (#46217)
    以前、社内のイントラ環境でちょとしたサービスを作った時、
    IEで試すとContent-Type:を無視して拡張子を優先
    してみたり、とにかくおもわず仰け反っちゃう挙動を
    至るところで示すんで頭にきました。

    # ええ、社内でネットワーク権限を持っている私は、以前から
    # IEは使用禁止にしてましたが、改めて禁止通達を出しました。
    • 以前、デザイナーから納品されたHTMLをシステムに反映させたとき、
      Netscapeで試すと画面がいつまでたっても表示されず
      よくよく調べると、tableのネスティングが5重あたりから急激に
      遅くなり、7重で発散していました。

      こんなHTML書くデザイナもださださですが、これってHTMLとして
      tableタグのネスティングは6重までとかいう決まりでもあるんですか?

      それとも、単にNetscapeのアルゴリズムがださいだけ?
      親コメント
    • 「IE使用禁止」とかだと「IEでさえなければいいんだ」とばかりに
      (IEコンポーネントを利用した)lunascapeとかbugbrowserとか使って
      同じような問題発生させてしまう、に一票。(って、それはウチか...)

      親コメント
    • うらやましい~
      私もそういうせりふを言ってみたい。>IE使用禁止

      取引先とのEDIでIE必須(というか、IEでないと動かないのよ)なので
      外したいのに外せない~~

      #結構大手さんでもIEやOE、Outlookをパッチなしで使ってたりするんで怖いです~
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...