パスワードを忘れた? アカウント作成
4909 story

Opera 7に多数のセキュリティホール 42

ストーリー by Oliver
いくら速くてもね 部門より

jbeef曰く、"INTERNET Watchが既に伝えているように、Opera 7に5つのセキュリティホールがあることがGreyMagicによって報告された。
1つ目の脆弱性は、JavaScriptのドメインを越えたアクセスの問題(過去のOperaの事例参照)で、悪意ある者は、新たに開いたウィンドウ上でメソッドをオーバーライドするという方法により、任意のスクリプトをそのウィンドウ上で実行させることができ、このときスクリプトは表示中のページのドメイン上で実行されるため、cookieやローカルファイルの盗み出しが可能というもの。
2つ目は、Opera 7にはconsole.htmlというファイルに例外メッセージを出力する機能があるのだが、メッセージ文字列に対して「<」と「>」はエスケープされるものの「"」がエスケープされないため、「"style=...」と書くことでそこに任意のJavaScriptコードを埋め込むことができてしまい、ローカルファイルの盗み出しが可能というもの。
3つ目は、先月紹介したIEの脆弱性の2つ目と同じ原理で、画像単体をURLで指定して表示させたときに内部で生成されるHTMLにクロスサイトスクリプティング脆弱性があるというもの。
4つ目は、他のブラウザでは、historyオブジェクトは、back()やforward()といったメソッドを持つだけなのだが、Opera 7はpreviousとnextというプロパティ(前と次のURL)も提供しているため、Webページ作成者は、訪問者がそれ以前にどこを見ていたかを知ることができてしまうというもの。
5つ目は、Opera 7には、console.htmlのメッセージを得るopera.errorMessage(i)というメソッドがあり、これが任意のサイトのHTMLから呼び出せるため、過去の例外メッセージを他人に取得されてしまう。メッセージにはURLが含まれているので、過去に訪れたページ(のうち例外を発生させたところ)のことを他人に知られてしまうというもの。
1つ目はともかく、2つ目の脆弱性はクロスサイトスクリプティング対策の基本であるし、3つ目は他のブラウザの事例を見ていればわかること。4つ目や5つ目なんぞは何も考えちゃいない様子がうかがえる。回避策はJavaScriptを無効にすること。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • とりあえず (スコア:2, 参考になる)

    by nisi (6390) on 2003年02月05日 9時10分 (#251374) 日記
    とりあえずOpera使いならご存知と思うが、
    F12 > [Enable Javascript]

    チェックを外したらJavaScriptOFFです。

    これだけあると、他にも無いかと気になるなー
    --
    taka4
  • 早速7.01が (スコア:2, 参考になる)

    by noboruhi (6891) <reversethis-{pj. ... {ta} {ihurobon}> on 2003年02月05日 9時16分 (#251377) 日記
    --
    日は復た、昇る。----昇日
  • by MLC (6565) on 2003年02月05日 12時58分 (#251535) ホームページ 日記
    moonstone氏のサイトのBBSにユーザーレベルでのセキュリティーホール情報 [g-7.ne.jp]があります。
    ご参考までに。

    ここの情報を信用するならば、7.01で5つの穴はふさがれているそうです。
    --
      --- Melloques Les Covdrasey ---
  • 本家のOpera7のストーリー [slashdot.org]を見てみましたが、その中に書かれていたコメント [slashdot.org]によると、Grey Magicは1/31にこのセキュリティホールをOpera社に報告し、Opera社は2/6まで1週間の間公表を待って欲しいと頼んだとの事です。

    ですがGrey Magicは2日早くこのセキュリティホールについての発表を行ってしまったので、Opera社は慌てていつものftpのディレクトリに7.01をアップロードしたようです。公式アナウンスがまだ出ていなかったり、Downloadのページからダウンロード出来るOperaが未だに7.00だというのは、このあたりが関係しているのではないかと推測しています。
    • by jbeef (1278) on 2003年02月05日 18時02分 (#251707) 日記
      BUGTRAQにつっこみ [securityfocus.com] が入ってますね。Operaにいつどのように通知したかがadvisoryに書かれていないじゃないかと。「1週間待って」の話の情報元は、The Registerの記事 [theregister.co.uk] にあるOperaのコメントのようです。以下その部分の引用:
      Opera criticises GreyMagic for releasing its advisories too early.
      "Unfortunately our request to GreyMagic to delay releasing the report until Thursday was denied, making it impossible for us to come out with a new version of release quality quickly enough to avoid our users from being worried."
      According to Opera, GreyMagic only notified it of problems with Opera 7 on Friday afternoon (January 31).
      ここに続いてGreyMagicの考えが紹介されています。
      親コメント
  • リスクとか (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年02月05日 11時04分 (#251459)
    問題は毎度の事ながらこの脆弱性に関するリスクを正しく迅速に顧客に知らせられるかですな。

    顧客の全てがBUGTRAQを見てるわけじゃないからね。
    この点はMSを見習って欲しい。
    • by Anonymous Coward
      というか、7.0 -> 7.01で何が変わったのかさーっぱりみえないことに問題がある。
      0から書き直したら過去の教訓も0にもどりました、なーんてオチはいいかげん勘弁してくれ…
      こうなったら、telnet でhttpしゃべるしかない!(のか?)
      • Re:リスクとか (スコア:2, すばらしい洞察)

        by thor (5250) on 2003年02月05日 13時29分 (#251556) 日記

        何がなんでもセキュリティホールなんてなかったことにしたいのだとしか思えません。MSがさんざん叩かれたのを見ているはずなのに、そこからなにも学んでいないのでしょうか……。叩かれる前にユーザにセキュリティホールを告知していたら、「セキュリティ情報をきちんと開示する会社」という評判を勝ち得ることもできたでしょうに……。

        親コメント
      • by Anonymous Coward
        www.opera.com のトップページには
        > Feb. 5, 2003: Opera 7 security update
        > Opera 7.01 addresses the security vulnerabilities reported by Grey Magic
        と書いてあって、Gray Magic の脆弱性情報の公開ページへの
        リンクが貼ってあるんですが、これでは不十分なのでしょうか?
        いや、自分の言葉で脆弱性の内容を書け、という気もするのですが……
  • by Dot.Zeile (1169) on 2003年02月05日 22時50分 (#251880) 日記
    あなたがたの見識については十分納得しました。
    二度とMacOS X版をリリースしようなどと思わないで下さい。(笑)
    • by Anonymous Coward
      もう少し内容のあるコメント書いたら?
      • by Dot.Zeile (1169) on 2003年02月06日 0時48分 (#252010) 日記
        ああ、きっとあなたはOperaがApple/Safariについて何とコメントしたか [zdnet.co.jp]をご存じないのでしょう。知ってれば上の私のコメントに付け加えるべき「内容」なんて書かなくてもお分かりのはず。
        親コメント
        • by Anonymous Coward
          個人的には、OperaがSafariとKHTMLの区別がついていないことが一番気になりました。
        • by Anonymous Coward
          今度はMicrosoft製OSスマートフォン向けブラウザは作らないとコメントしたそうで。
          いちいち言わなくてもいいことを言ってしま企業文化なんですかねえ。
      • by Anonymous Coward
        #251943の脊髄反射的なコメントは、ちょっといかがな物かと思いますが、
        #251880のDot.Zeile氏のコメントにしても、Opera7のストーリーに書くにしては、
        ちょっと不親切だと思いますね。
        #252010で氏自身がフォローされていますが、現存するOpera7はWin32用ですし、
        このストーリーを読んでる人全員に、ZD
        • by Dot.Zeile (1169) on 2003年02月06日 19時28分 (#252766) 日記
          >このストーリーを読んでる人全員に、ZDNet Macの記事前提のを要求するのは・・・

          この話は別にZDNet Macだけでしか伝えられていないわけではなく、速報 [zdnet.co.jp]も詳細記事 [zdnet.co.jp]も出てましたし、当日はちゃんと全体のトップページ [zdnet.co.jp]にも見出しが出ていましたよ。でなきゃ私だって気がつかない。

          これが、Surfin' Safari [mozillazine.org]にしか書いてない話だったら私だってちったあ反省しますが…

          まあ、Macに興味のない人は見逃しがちなニュースかもしれないけどね。Operaについてコメントしようってんだからこれくらいのことは知ってるだろうと思ったんですよ。それにインパクト狙いのジョーク含みの発言にあまり情報を書きすぎるのも無粋だし、と思ったんだがなあ。
          親コメント
        • by Dot.Zeile (1169) on 2003年02月06日 20時13分 (#252805) 日記
          ちなみに(別件なので別コメントにしますが)、旧版にもspywareの問題もsecurity holeもあった、わざわざ完全に書き直し自信たっぷりで世に問うた新エンジンもこの「何にも考えちゃいない様子」のOperaに、そんなに期待しておられるのはどういう理由がおありなのですか?参考のためにおうかがいしたいところです。
          親コメント
        • by Anonymous Coward
          それはともかく、Mac版開発チームのリソースがどうなるのかが興味有ります。
          Macチームって、BeOS版移植後にOpera社に買収されたところが前身なんじゃないかなと推測したりしてるんですが、確かに気になる。
  • by Anonymous Coward on 2003年02月05日 9時28分 (#251388)
    結局、どのブラウザを使ったら一番安全なの?
    仕方ない。危険を覚悟でIEを使い続けるか・・・。
    • Re:うう・・・ (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年02月05日 9時45分 (#251402)

      便利さ(機能)と脆弱性は表裏一体であることを肝に念じておくべきですな。

      この世に存在するソフトウエアはどれも神様が書いたものではないのですから、機能を追い求めればそれだけ脆弱性が潜在する可能性もまた高まるわけです。

      言い換えれば、機能を諦めてJava/Javascript/ActiveXのいずれも動作しないブラウザを利用するか、そうでなければ機能豊富なブラウザを使ってこまめにパッチをチェックしながら日頃のアップデートを欠かさないか、どちらかしか選択肢はありません。

      親コメント
      • Re:うう・・・ (スコア:3, すばらしい洞察)

        by thor (5250) on 2003年02月05日 14時07分 (#251570) 日記
        便利さ(機能)と脆弱性は表裏一体であることを肝に念じておくべきですな。

        この「便利さ」というのは、往々にして作成者側だけの「便利さ」であることが多いという点にも留意する必要があるでしょう。作成者側の都合だけで(あるいは無知のために)必要もないのにスクリプトを強要するようなサイトがなくなればw3mのようなブラウザでも不便を感じることは少なくなるでしょう。

        問題は、スクリプト機能のないシンプルな(「低機能」な)ブラウザにとって住みにくい世の中に、WWWがなってしまった、ということにもあるでしょう。

        親コメント
    • by mexico_man (7434) on 2003年02月05日 10時59分 (#251455)
      > 仕方ない。危険を覚悟でIEを使い続けるか・・・。

      IEには昨年の12/31の時点でパッチの出ていないセキュリティホールが19個 [pivx.com]ありますが?

      親コメント
    • IEの場合は、基本的にすべてのサイトを制限付きサイト(か、それに相当するセキュリティ設定にしたインターネットサイト)として使っていて、自分が信頼したサイトのみを信頼済みサイトに追加していく、というので、だいぶ安全になると思いますが。
      信頼済みサイトに追加したサイトで何か問題があっても、自分で追加したのだしというか。
      親コメント
      • by Anonymous Coward
        >信頼済みサイトに追加したサイトで何か問題があっても、自分で追加したのだしというか。

        ところがクロスサイドスプリプティングってのは制限つきサイトのコードでも信頼済みサイトの権限で動くから問題。

        またIEの今までのバグだと、たとえ制限つきサイトから落としたものでも、別の権限で動いたりとか。
    • by Dobon (7495) on 2003年02月06日 2時02分 (#252093) 日記
      バグ付きのOperaの方がIEよりも安全です。

      # 一度ハードディスクをフォーマットされれば判ります[笑]
      # こんな穴はIEだけでしょ?
      --
      notice : I ignore an anonymous contribution.
      親コメント
      • by Anonymous Coward
        > # 一度ハードディスクをフォーマットされれば判ります[笑]
        > # こんな穴はIEだけでしょ?

        いいえ [google.co.jp]。
    • by Anonymous Coward
      lynx等のテキストベースのブラウザ?
    • by Anonymous Coward
      > 結局、どのブラウザを使ったら一番安全なの?

      たぶん、テキストブラウザが一番安全だと思うよ。

      テキストブラウザが嫌でJavaScriptも使いたいなら、
      どんなブラウザを使っていようが同じ事。
      常に脆弱性の情報
      • テキストブラウザと言っても、w3m-js [abe.nwr.jp] なんてものもありますけどね。
        まぁ問題になるのは JavaScript だけではないしね。
        親コメント
      • by habe (11732) on 2003年02月05日 10時13分 (#251421)

        > 結局、どのブラウザを使ったら一番安全なの?
        たぶん、テキストブラウザが一番安全だと思うよ。

         w3m でも Cookies は盗まれて [srad.jp]いますね。JavaScript がないだけ不安要素が少ないのは事実ですが。
         少なくとも Cookies に関して云えばそもそも Cookies を使わなければ盗まれても困らないですな。
         現実的には Cookies パスワードの入力の省略とかアクセス解析の為の利用者追跡の為にしか使われていないみたいですし。

        # 下手をするとパスワードなんてディスプレイに付箋紙で…。
        親コメント
        • Re:本気で聞いてる? (スコア:2, すばらしい洞察)

          by nisi (6390) on 2003年02月05日 10時33分 (#251430) 日記

          現実的には Cookies パスワードの入力の省略とかアクセス解析の為の利用者追跡の為にしか使われていないみたいですし。


          /.のユーザ登録もできなくなります・・・

          多くの会員制サイトが認証システムを考え直す必要も出てきますね。
          --
          taka4
          親コメント
          • 多くの会員制サイトが認証システムを考え直す必要も出てきますね。

            セッション管理は Cookie 使いたいなぁ。 URL に埋め込んで HTTP_REFERER で洩れたりするのも嫌やし。

    • Re:うう・・・ (スコア:0, おもしろおかしい)

      by Anonymous Coward
      やっぱ telnet で 80 番叩くしかない?
  • by Anonymous Coward on 2003年02月05日 13時47分 (#251562)
    このモデレートの寿命も1日で終わったわけだが。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...