PostPet Windows版にセキュリティホール 35
ストーリー by yourCat
モモにもマスク 部門より
モモにもマスク 部門より
mabu曰く、 "セキュリティーホール memo MLによると、PostPet Windows版 ver.2.05以下にセキュリティホールがあるそうです (PostPetのセキュリティに関する重要なお知らせ)。添付書類フォルダの位置が固定されているめ、Object タグによるローカル実行可能ファイルの呼び出しなどのInternet Explorerの穴と組み合わせるとアタックできるということのようです。対策としてver. 2.06にアップデートして、古い添付ファイルを消去しましょう。"
次バージョンからは (スコア:3, すばらしい洞察)
SONYくん(仮称)がパッチを自動的に運んでくれるようになるんだろうか? :-)
という冗談はさておき、アップデート方法詳細ページ [so-net.ne.jp]を見ると ver2.06 にするためには場合によって 3 回アップデートファイルを適用する必要があるようで。このサイトの説明だけで理解できるだけのスキルがないとポスペ 1 つ使えない世の中になったのね。万が一この説明では理解出来ない人の為に 1 つのファイルで ver2.06 まで上げられるようなファイルを用意するという発想は SONY にはないんだろうか...
# 「1 つにするぐらいで適用できると思ってるほうがへたれ」
# という意見のほうが正しいような気もしますが ^^;;;
Re:次バージョンからは (スコア:1)
個人的にはクタラギくんのほうが面白いと思う。:-)
Re:次バージョンからは (スコア:0)
そこでだ、バージョンを上げるごとに
「新種のおやつ『ほげほげ』は最新版でないと動作しません」
といった趣旨の新機能を詰め込むのはどうだ?
Re:次バージョンからは (スコア:2, すばらしい洞察)
かなり効果があるのでは?
Re:次バージョンからは (スコア:1, すばらしい洞察)
とか、
「脱皮!」
とかが似合っているような、、、、
Re:次バージョンからは (スコア:1)
「いかにも」な見かけでやってくる。目つきも悪いに違いない。
AMIGA4000T(60/50)使い
Re:次バージョンからは (スコア:0)
がーん (スコア:0)
So-netが継承したんは知っとったけど、ほんな状態になっとったんえぇ?
あれ?某ISPはこっち [justnet.ne.jp]やよ。
ビックリさせたらあかんでないで。
Re:次バージョンからは (スコア:0)
Re:次バージョンからは (スコア:0)
PostPetのセキュリティホールなの? (スコア:1)
# Objectタグを併用するなら、ほかにもっと楽しいターゲットがいくらでも。
Re:PostPetのセキュリティホールなの? (スコア:3, すばらしい洞察)
固定パスに何らか悪さできる可能性のあるコマンドを置いてしまうのがセキュリティホールだって言うんだったら、/bin/shとか、/usr/bin/perlとか固定パスにコマンド置いちゃうのもセキュリティホールですね。
という事は、Filesystem Hierarchy Standard [pathname.com]に従っているLinuxディストリビューションはPostPetと同等の脆弱性を持つという事に...
# そんなアホな
Re:PostPetのセキュリティホールなの? (スコア:1)
Re:PostPetのセキュリティホールなの? (スコア:0)
>固定パスに何らか悪さできる可能性のあるコマンドを置いてしまう
のは欠陥でしょ。
TPOをわきまえなくっちゃ(w
Re:PostPetのセキュリティホールなの? (スコア:2, 参考になる)
[memo:3956] [ryukoku.ac.jp] によれば、ブラウザの <object> タグは関係ないとのことです。
# 半角の<と>がどうやっても入力できない (TT)
Re:PostPetのセキュリティホールなの? (スコア:1)
…と書いて、プレビューしたら、実体参照が食われてしまった(笑)。
URLエンコードは本文には使えませんし、これもXSS対策ということでしょうか?
Re:PostPetのセキュリティホールなの? (スコア:1)
XSS対策だとしたら,全く逆向きじゃないっすか?
ちなみに,<と(&は半角です)書いてもプレビューすると(ソース上で)<(半角)になって,食われてしまいます。ダメじゃん。
<(&は半角です)でやっと
Re:PostPetのセキュリティホールなの? (スコア:1)
しくしくしく。プレビューしたら大丈夫だったのにぃ…
実験(> → >)
Re:PostPetのセキュリティホールなの? (スコア:1)
これでタグが表示できるのか?
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:PostPetのセキュリティホールなの? (スコア:1)
自作の掲示板で「どうしよう」と思案した末に「<>(半角)」を<>に直すようにフィルタを書いたのを忘れ去っていました(汗)。
Re:PostPetのセキュリティホールなの? (スコア:0)
これはPostPetの欠陥だと思うが?
Re:PostPetのセキュリティホールなの? (スコア:1)
Re:PostPetのセキュリティホールなの? (スコア:0)
>これはPostPetの欠陥だと思うが?
そんなとこに格納されたファイルに勝手にアクセスするのは
原因だと思うが?
#フォルダの位置が固定されているのが欠陥なら、
#あなたの窓機にはc:\windowsとかc:\program filesなんて
#固定されたフォルダ名など使っていないのでしょうね(^^)
Re:PostPetのセキュリティホールなの? (スコア:0)
煽る前にどうしてそれが欠陥なのか分らないんだったら、黙ってた方がいいよ。
# 発見者の意向で手順は書かないけど。
Re:PostPetのセキュリティホールなの? (スコア:0)
PostPet は (スコア:1)
Windows 上で動作し、メーラの中で最もシンプルで安全で初心者でも使えるモノと信じて、父親や妹に使わせていたのですが…。直接 PostPet 側に問題がないとしても、ちょっと残念ですね。
Takeshi HASEGAWA
PostPetのセキュリティホールって…… (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:PostPetのセキュリティホールって…… (スコア:1)
Re:PostPetのセキュリティホールって…… (スコア:0)
Objectタグの脆弱性はMS02-05で修正済み (スコア:0)
Re:Objectタグの脆弱性はMS02-05で修正済み (スコア:4, 参考になる)
>(GM#001-IEについては、MS02-015でIEが修正されました。)
> しかし、今回私が想定している方法はこれとは別です。
とのことです。
そんなの (スコア:2, すばらしい洞察)
DX未対応? (スコア:0)
両親に使わせるのには、最高のメーラー(シンプル操作)だったのに、残念です。 ソネットさんDXにも対応してくださぃぃぃ。
Re:DX未対応? (スコア:1)
やっと出ました [so-net.ne.jp]。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:DX未対応? (スコア:0)
#シンガポールのサイトに行けとでも言うのだろうか…