IEのダウンロードダイアログに致命的脆弱性 61
ストーリー by Oliver
n=>n+1 部門より
n=>n+1 部門より
k3c 曰く、 "フィンランドのOnline Solutions社が11月26日に明らかにしたところによると、Internet Explorerでリンクをクリックするなどしてファイルをダウンロードするときに表示されるダイアログで「開く」を選択すると、ダイアログでは実行形式ファイル(*.exe)と表示されていないのになぜか実行形式ファイルがダウンロードされ、ローカルのコンピュータ上で警告なしに実行されてしまうというとんでもない脆弱性が見つかったようです。本家の記事によれば、HTTPプロトコルののContent-Type:ヘッダの扱いに問題があるようで、Webサイトの管理権限があればexploitは簡単に作れるようです。パッチは現在準備中(Newsbytesの記事参照)。パッチがリリースされるまでは、ダウンロード時のダイアログで表示される文書の種類(*.txt,*.pdf,*.gif,...)に関わらず、必ず一旦「保存」する必要がありそうです。マイクロソフトはこの件については現在のところノーコメントを貫いている模様。"
秘匿によるセキュリティに未来はない。事前に知らされながら黙殺しようとするベンダーにはセキュリティホールを公開して圧力をかけるしかない。たとえ一時的に多数のユーザ(今回のケースだと数千万人?)を危険に晒しても、そうしなければ企業はセキュリティを余分なコストとしかとらえないだろう。
自問自答 (スコア:3, おもしろおかしい)
うそだ~!
致命的な欠陥って何度目ですか?
IEには致命傷になってないような気がするのですが。
もしかしてアレですか、
「CMのあと、あの人が大変なことに!」
とか、そんな感じですか。
自答:
それは違います。
ユーザーに致命傷を与えるのです。
「ボクIEです。全員ブッコロス!」
って感じです。
、、、その割にユーザーが減っていないような気がする。
やっぱり致命的じゃないんじゃないの?
使ってないからわからないけど。
#わたしは何が言いたかったのかのでしょうか
Re:自問自答 (スコア:1)
減った分、増えてるんでしょう。
……増えてたんでしょう。今までは。
Windowsマシンを買ってきて、IEを使う。
そのうち、嫌になって、他のブラウザに移る。
(または、「インターネット」が怖い物だと思い知って、使わなくなる)
一通り行き渡った後は、じわじわ減っていくのでは?
個人的には、MSには減らさない努力をお願いしたい。ばら撒く以外の方法で。……「縛る」のも却下。
実際のところ、IEのシェアは高いけど、稼動実数(あるいはアクティブユーザー数)の推移ってどうなんでしょう。
拝啓、Microsoft さま (スコア:3, すばらしい洞察)
最小のコストで quickfix する方法を以下に提案致します。
いかなる content type に対しても dialog box でユーザに確認を求めるオプションを選択する。
例:ファイル(F) → 開く(O) → http://www.msn.co.jp/
# これで全てはユーザ責任ですよ。:-)
Re:拝啓、Microsoft さま (スコア:1)
> ( ) このファイルを上記の場所から開く(O)
この項目を削除した方が完璧だと思います.
#なんで,IE6では「開く」をデフォルトにしちゃったんでしょうね.
kero
Re:拝啓、Microsoft さま (スコア:2)
こんなヘルプを用意するなら (スコア:2, すばらしい洞察)
こんな事を書くぐらいなら、ダイアログのデフォルトボタンを「開く」ではなく「保存」にしてくれ!
なんど、つい押してしまったことか・・・
管理者権限がなくても (スコア:2)
AddType text/html exe
などとかいておいて、<A HREF="some.exe">
と指定すれば、いいのかな。
でも、ネタもとにもあるように、IE5.0, IE5.5, IE6.0 でそれぞれ微妙に動きが違うようです。うちでは .exe で保存しないで .htm になりました。
ありがちですが… (スコア:2)
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:ありがちですが… (スコア:1)
Re:ありがちですが… (スコア:1)
Re:ありがちですが… (スコア:1)
今のMSの営業方針というか、「やりくち」というか、その辺りはどうかと思いますけどね。
……坊主を憎んで、袈裟を憎まず(笑)。
Re:ありがちですが… (スコア:2)
他に比べると.... (スコア:1)
--------------------------
IEをInternetExploderと呼んでしまう。
爆破するための起爆装置....もちろんいい意味ではなく
拡張子の問題なら、こんなのもあるよ。 (スコア:2, 興味深い)
Excel2000で何か作って、
「Webページとして保存」
「選択範囲:シート」にチェック
「対話機能を追加する」にチェック
以上の状態で「保存」
出来上がった「.htm」の拡張子を「.txt」に書き換える
これをWebサーバーに配置してIEで開く
普通ならHTMLでかかれたソースが表示されるはずだが?そうならない。
「.txt」でも何か?が動くって確認できます。
これだけなら、問題は出ないけど、ここから発展しそうな予感が・・
見つけた当時にMSKKにこの話しようとして、合う約束までしたのにすっぽかしやがった。
しかたなくHomePageから連絡先も探したけど何処にあるの?
By シャム
Online Solutions 社によると (スコア:1)
補足 (Re:Online Solutions 社によると) (スコア:1)
仕様とまでは言ってないような (スコア:0)
脆弱性ではない、とは言ってるけど
って書いてあるから、「ただのバグ」くらいには思ってるんじゃない?Re:Online Solutions 社によると (スコア:0)
Re:Online Solutions 社によると (スコア:1)
画面でファイルの処遇を聞いてくるときの表示に使っている。
# と思われる節がある
audioだと思って開いてみたら・・・・
ファイルをその後「WinExec」してるんじゃなかろうかと。
そら、あきまへんって
拡張子pifの音楽ファイルなんてないないscrもな
NimdaとかAlizとか、TransBってこれ利用してるんだから
既知の問題じゃないの?
Re:Online Solutions 社によると (スコア:3, 参考になる)
Nimdaなどには感染したことがないので推測ですが、スクリプトやIFRAMEを使った処理の場合、ダイアログは(デフォルトのインターネットゾーンの設定では)表示されないので、気づかずに処理が行われてしまう…のですよね?そういう意味で、ダイアログでユーザーをだまして信頼させてしまえる今回の脆弱性は新しいものでしょう。
Re:Online Solutions 社によると (スコア:1)
2. 「開く」を指定するとダウンロードが行われ、サーバ上の実際のファイル名でファイルが保存される
Re:Online Solutions 社によると (スコア:1)
RE: File extensions spoofable in MSIE download dialog [ryukoku.ac.jp]
Re:Online Solutions 社によると (スコア:1)
XMLのファイルをアップロード/ダウンロードするようなソフトを作っているときに大ハマりしました。
どうも、IEは
という順序でファイルをどう扱うかを決めているような気配があります。
XMLファイルをディスクにセーブさせたいので、拡張子は(ファイルタイプとして登録されていない)適当なものにして、Content-TypeをApplication/Octet-StreamなどにしてもXMLとして表示してくれるという大きなお世話を焼いてくれたと記憶しています。
ほとんどは拡張子かファイルの中身で処理方法は決まってしまうわけで、Content-Typeを無視するというのはあながち間違っていないんじゃないでしょうか。
Re:Online Solutions 社によると (スコア:3, すばらしい洞察)
何かある毎に手探りで想像しなきゃいかんってのは非生産的過ぎ。
Re:Online Solutions 社によると (スコア:1)
別件で調べ物をしていて偶然知ったのですが、公開されてるようですよ。
Appendix A: MIME Type Detection in Internet Explorer [microsoft.com]
Re:Online Solutions 社によると (スコア:2)
でも深いところにあるなあ....
Re:Online Solutions 社によると (スコア:1)
みんつ
Re:Online Solutions 社によると (スコア:2)
最終的に text/html だろうが audio/wav だろうが PIF だろうが SCR だろうが (以下略)、Windows が「実行」(というか default のメソッドを選択する) 事に問題があるんではありませんかね?
そうでなければ拡張子を見て云々なんてする仕様を考えなきゃいけない必然性がありませんから。
Re:Online Solutions 社によると (スコア:1)
まったくその通りだと思います。
デフォルトの動作は、非破壊的(ユーザーの何らかの情報を失わせたり変化させたりしない)
かつ非窃盗的(ユーザーの何らかの情報を外界にコピーしない)な、
たぶん「閲覧」とでも呼ばれるべきメソッドに、しておくべきです。
仕事でここ数年、某OODB+それ用のGUIクライアントを扱っているんですが、
こいつのクライアントでObject(を現すアイコン)をダブルクリック(など)をしたときに、
そういう意味で破壊的な動作をデフォでするようなデータクラスは、
最初から存在しないし、我々のカスタマイズでも作ったこと有りません。
誰も(客も我々も)考えたこともないですね、破壊的動作を割り当てようなんてことは。
そんな危なっかしくて使いにくいもの、誰も望みませんって。
イントラネットな世界ですらこうなのに、なんでインターネットばりばりなWindowsが
こんな阿呆な仕様がデフォなんでしょう?
Re:Online Solutions 社によると (スコア:3, すばらしい洞察)
更にそういう人は OK 押すのも面倒がるから始めっから実行にしとけと思っている
....と MS が思っているからじゃないですかねぇ。
コンピュータのコンピュータ処理の部分をユーザから隠す行為自体はユーザビリティ
もあるので基本的にはさほど反対したくないんですが、だったら本当にユーザが
何もしなくても安全で幸せに使えるようになっていないと駄目なわけで、現状ではまだまだですね。
せめてオプションで設定を変えられるとかすればいいと思うんだけど。上級者用、かなんかのラベルつけて。
Re:Online Solutions 社によると (スコア:2, 興味深い)
インターネットエクスプローラーであると同時に、Windowsのシェルであるエクスプローラーである、っていうのが諸悪の根元かと。
共通のエンジンを使い、なおかつインターネット用にセキュリティを強化してない。
(単なる手抜きですね。)
結果として、IEはブラウザではなく、(場合によってはリモート操作可能な)ファイルマネージャーになってしまっている。
手抜きの結果、全く別なソフトになってしまってますね。(^_^;)
と、ここまで書いてこれ [bbc.co.uk]を思い出した。
「製品を低コストで提供することで成功したんだ。」 = 「手間をかけていない粗悪品を売りつけることに成功したんだ。」という意味なのかな。
ファイルタイプはContent-Typeで判断すべき (スコア:2)
これは全くその通りですね。
拡張子(という言い方もローカルなんだが)とファイルの性質の対応(*.exeが実行ファイルで、*.docがMS-Wordのファイル、など)はWindowsの世界に限られたローカルなルールであるのに対し、Content-Typeでファイルの性質を表すというのはプラットフォームに依らないグローバルなルールです。IEの挙動はプラットフォームによらないルールをぶち壊して自分のルールを押しつけようとしていると言えます。Windowsと違う拡張子の使い方をするな、と言っているようにすら感じます。
Webサーバの設定が不適切でバイナリファイルをtext/plainにしてしまっているサイトは多いのですが、それはまた別の問題ですね。もっともどのブラウザもContent-Typeに忠実に表示するようになっていたらサーバ管理者もすぐミスに気づくでしょうが。
Re:Online Solutions 社によると (スコア:1)
「Content-Typeを後回しにする」仕様はダメダメだというのは私もそう思ってます。
#46179で「無視はしない」と書かれているので、「現実には無視してるも同然だよ」といいたかったわけで。
読み返してみたら、「Content-Typeを無視するのは理にかなってる」としか読めねーんでやんの(笑) > 自分の#46195
私もそうかとおもっていましたが (スコア:1)
contentType='application/octet-stream';
Response.AddHeader('Content-Disposition',"attachment; filename=hoge.xml");
で、強制ダウンロードできましたよ?
raspy
訂正。。。 (スコア:1)
Response.ContentType='application/octet-stream';
ですね。すいません
raspy
Re:Online Solutions 社によると (スコア:1)
拡張子に相当する部分のないURLに、XHTML文書を置くと、XMLツリーが表示されてしまう事があります。Accept:にapplication/xml+xhtml等が無いので、IEはXHTMLを知らない、と見なすのが適切かもしれませんが。
IEのコンポーネントの他にも、ファイルタイプの決定に関わっている部分がある様で、IEのビルド番号とOSの組み合わせが同じでもHTMLと認識される環境とXMLツリーが表示される環境があります。
ファイルの中身を見てくれるお陰で、拡張子やContent-Typeが誤っている画像ファイル等をうまく表現出来たりするのですが、その所為で正しい記述を勘違いするのは大き過ぎる代償。
ファイルタイプ決定のプロセスに、付け加えると、
かな。
http://とfile://を似た様な物とし過ぎているのがいけません。
Re:Online Solutions 社によると (スコア:1)
とか。
飽くまで、ローカルのファイルシステムを用いて、ローカルな環境の流儀に則ってブラウズする為の物で、その点はIEも外していないと思います(嫌な流儀かもしれないけど)。
こう書いたら、IEは、fileスキーマを拡張してhttpスキーマを実装している様にも思えるなあ……。
一時的な被害。 (スコア:1)
ユーザーの何%が
「わあ、なんて大変な脆弱性なんだ。」
と思ってパッチを当てるんでしょうね?
一時的な被害ですむんでしょうか・・・
「直接開く」が多数派? (スコア:1)
わたしは、どんなファイルであれ一回デスクトップとかに落としてから
開いてます。というかそれが普通だと思ってた。(^_^;
まぁプラグインで勝手に開くpdfとかはそのまま開いちゃってますが。
IE6からデフォルトが「開く」になってるんでそういう人増えてそうだな。
拡張子の詐称 (スコア:1)
今回の問題は、長年 Microsoftがファイル名(拡張子)をみて ファイルの判断をするように薦めておきながら、その拡張子の詐称を許すようなブラウザをばら撒いてしまったことでしょうか。
Re:拡張子の詐称 (スコア:2)
最近のWindowsだと、MS-Officeのファイルは拡張子に関係なくExplorerからダブルクリックするとMS-ExcelやMS-Wordで開いてしまいます。ファイルの中身を見ているとしか思えません。なので拡張子を鵜呑みにするのは危険ですね。
Re:「直接開く」が多数派? (スコア:1)
中には、"hogehoge.pdf(この間長いスペース).exeってやってるやからもいないとは、限りませんからね。
オフトピになりますが、この種のワームは、メールの添付文書の方が多いです。(^^);
Re:「直接開く」が多数派? (スコア:0)
しかも、わざわざIEで。
普段はネスケ使ってるんですけど、M$のサイトなためか動きが変になるんだもん。
だから、M$の「推奨」は、本気で「直接開く」なんだと思ってる。
Re:「直接開く」が多数派? (スコア:2)
そのうちにこういう問題も出ると思ってました。 (スコア:1, 参考になる)
IEで試すとContent-Type:を無視して拡張子を優先
してみたり、とにかくおもわず仰け反っちゃう挙動を
至るところで示すんで頭にきました。
# ええ、社内でネットワーク権限を持っている私は、以前から
# IEは使用禁止にしてましたが、改めて禁止通達を出しました。
Re:そのうちにこういう問題も出ると思ってました。 (スコア:2)
Netscapeで試すと画面がいつまでたっても表示されず
よくよく調べると、tableのネスティングが5重あたりから急激に
遅くなり、7重で発散していました。
こんなHTML書くデザイナもださださですが、これってHTMLとして
tableタグのネスティングは6重までとかいう決まりでもあるんですか?
それとも、単にNetscapeのアルゴリズムがださいだけ?
Re:そのうちにこういう問題も出ると思ってました。 (スコア:1)
(IEコンポーネントを利用した)lunascapeとかbugbrowserとか使って
同じような問題発生させてしまう、に一票。(って、それはウチか...)
Re:そのうちにこういう問題も出ると思ってました。 (スコア:0)
私もそういうせりふを言ってみたい。>IE使用禁止
取引先とのEDIでIE必須(というか、IEでないと動かないのよ)なので
外したいのに外せない~~
#結構大手さんでもIEやOE、Outlookをパッチなしで使ってたりするんで怖いです~
とりあえずパッチは出ています。 (スコア:1)
金曜日に近くにいた連中にはばらまいたけど、以前の MS の回答とは違って Critical 扱いになっているのが興味深い :-)
[microsoft.com]Re:とりあえずパッチは出ています。 (スコア:1)