IEに未パッチの脆弱性4種、実証コードあり 91
ストーリー by Acanthopanax
JPEGまわり 部門より
JPEGまわり 部門より
Technical Type 曰く、 "HotFix Report BBSからの情報。Internet Explorer の脆弱性が Michal Zalewski 氏によって SecurityFocus に4種類報告された。
- Microsoft Internet Explorer JPEG Image Rendering Unspecified Buffer Overflow Vulnerability
- Microsoft Internet Explorer JPEG Image Rendering CMP Fencepost Denial Of Service Vulnerability
- Microsoft Internet Explorer JPEG Image Rendering Memory Consumption Denial Of Service Vulnerability
- Microsoft Internet Explorer JPEG Image Rendering Unspecified Denial Of Service Vulnerability
問題発見者は IE6 SP2 にて脆弱性を確認している。コンセプト・コードも公開されているが、現時点でパッチはない。
上記 1.は、リモートでコードが実行可能。上記 2.では、コードの実行は確認できていないが、可能かもしれない。上記 3.は、ブラウザがクラッシュする。上記 4.は、ブラウザのクラッシュおよび CPU を過剰に消費しサービス不能に陥らせることが可能とのこと。"
すまん、もう1つ追加 (スコア:5, おもしろおかしい)
発見者の態度 (スコア:4, 参考になる)
「ちょっと実験してクラッシュを発見しただけだから、詳しく調べればもっとあるかもよ」
「でも、マイクロソフトと連絡をとるのは、やたら時間がかかるからね。
クラッシュだけで、明白なエクスプロイトがない場合は特に。」
と書いてあるので、IE ユーザはかなり危険な状態にありそうです。
パッチが出るよりも、これを本格的に悪用する黒帽さんが出てくるほうが確実に早いでしょう。
リターンアドレスが自在に変えられそうだってことまで分かってるんだから、
そのまま公表しちゃうのは非常に無責任です。憤りを感じます。
Re:発見者の態度 (スコア:2, 参考になる)
IE6SP2、WinXPSP2、DEP有効(Athlon64)。
Windows Updateは全て適用済み。
1,2はIEが落ちる。3,4は画像が表示されないだけ。
Re:発見者の態度 (スコア:1)
3と4は、ウチのPCだと頑張って緑色だらけになって、頑張ってくれるんですが
やっぱ落ちてしまふ。
3と4は、難しく考えずとも一部だけ処理して危険性のある物だけをダイアログで
示すなりして、危険性を促して欲しいものです。
#大量に開いたURLが、コレ等に引っかかって全部消えるのは泣けるから
Re:発見者の態度 (スコア:1)
はっきり言って甘えが通用する世界ではないです。ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、Microsoft にチャンスを与えても良かったとは思いますけど。
#言うまでもなく、馬鹿な人間が非難することで情報が地下に潜る方が比較にならないほど困ります。
Re:発見者の態度 (スコア:2, 興味深い)
リターンアドレスが自在に変えられる≒自在にコード埋め込めるのが事実なら、いきなり公開するのは相当無責任だと思うけど。
Re:発見者の態度 (スコア:1)
>はっきり言って、出所の分からないような JPEG 食ってヤラれるようならヤラれた方が 100% 悪い。違います?
すみません、私は
「発見した者には世界・世間に対して責任がある」
という古いアタマの人間なんです。
日本では合法なはずですが、フランスではフル・ディスクロージャは違法だとか
聞いたことがありますから、同様の考えを持つ人も少なくはないようです。
(それが正しい判断かどうかは別として、です。)
「JPEG 食ってヤラれる」以前の問題として、そのような被害が出る危険性を
承知のうえで最善を尽くさなかったことは「無責任」だと思ったのでそう書きました。
実際に被害が出ても、それを Zalewski 氏のせいにしようとは思いません。
誤解を招くような書き方をして申し訳ありませんでした。
>はっきり言って甘えが通用する世界ではないです。
>ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、
>Microsoft にチャンスを与えても良かったとは思いますけど。
そうなんです。ベンダに報告するのは確かに大変ですし、
ICMP の脆弱性を (再?) 発見した Fernando Gont がシスコに特許を取られそうに
なった件などを考えると、リスクが高いと感じる人がいるのもわかります。
でも「面倒だから」といって連絡をとらないのは無責任だと思うんです。
たしかに報告してもしなくても自由なんですけど、公開メーリングリストに
投げるくらいならマイクロソフトに (期限付きででも) 教えておいてもよかった
と思うんですよね。
でも、自分の価値観や道徳観を押し付けるような投稿でしたので、
不愉快な思いをさせてしまったことをお詫びします。
Re:発見者の態度 (スコア:0)
ヤラれた方が悪い、なんていう言い草が通用するほど甘い
世界じゃないんだけどな…
Re:発見者の態度 (スコア:1, 参考になる)
MSだけでなくそれ以外のベンダも含め、実際に報告してみたらよくわかりますよ。
具体的な事例を出すわけにはいかないので、簡単なエピソードを。
いまでこそセキュリティ問題の専用の対応窓口を用意してあるベンダも少なくないですが、そんなものはほとんどない時代のお話。
いまのようにIPAを通じた報告どころか、日本語による受付もしていないころに、かなりおかしな英語でMSに報告をしたことがあるのですが、素直に「英語がわからないので返事は日本語で欲しい」と書いたところ、きっちりと日本語で今後の修正の予定などについて書かれた返事がきました。あとでMSの中の人に聞いたところ、英語でなく他の言語で書かれている場合でも、その言語がわかる人間に転送し、かならず人間が目を通すとのことだそうです。
Re:発見者の態度 (スコア:1)
で、この人はバグを周知しようとしてくれる人なわけで、どちらかというと善意の人。
「マイクロソフトと連絡をとるのは、やたら時間がかかるからね。」と思わせてしまったマイクロソフトの体制に問題があるんじゃないかなぁ。
Re:発見者の態度 (スコア:3, すばらしい洞察)
Re:発見者の態度 (スコア:0)
かなり惜しんでます。
Microsoft の中の人 (スコア:3, 参考になる)
「明らかに脆弱性でないような馬鹿げた報告であっても、標準的なプロセスに従って本社へ報告する」
という対応をしているそうです。できる限りの努力をしていると思います。
Re:Microsoft の中の人 (スコア:1)
「標準的なプロセス」の妥当性を議論しないと意味が無いと思いませんか。
実際、そのプロセスを経験した人間が、今回はそれを選択しなかったわけですから。
# 「最高のセキュリティ」なんていうのも同類かなぁ。
Re:Microsoft の中の人 (スコア:1)
確かに。最初からマイクロソフトの側で
もっと迅速に対処してくれれば問題なかったんですから
マイクロソフトに改善点はあるかもしれませんね。
http://www.eeye.com/html/research/upcoming/20050329.html
のように、何ヶ月も経ってるのに修正されない問題なんかだと、
報告者が事情を知らされずにただ待つのは大変だと思います。
今回の発見者がそうした点に警鐘を鳴らすつもりで
いきなり公表したのだとしたら、ぜひ成果を上げてほしいものですね。
Re:発見者の態度 (スコア:0)
例えばslashcodeに脆弱性があって、こうしたらお前さんが設定してるアカウントのパスワードとかアクセス履歴とか取れちゃうよ、とここでいきなり発表したりとかした場合とか。
Re:発見者の態度 (スコア:0)
Re:発見者の態度 (スコア:0)
Re:発見者の態度 (スコア:1)
一般ユーザだとサポートに連絡かな。(ちゃんとしたフォローがあるかというのは別問題。)たしかその手のバグ報告に関しては別窓口があるか、サポートのインシデントは消費されないとかありませんでしたっけ?(うろおぼえ)回避策を教えてもらってめでたく1インシデント消化という結果でしょうが。(笑)
ところで、この脆弱性の原因はBufferOverrunだって言っているけど、その根拠ってなんでしょうか?ICEとか使って?それともソースレベルで追っかけないとダメ?
# いいツールがあれば教えてくださいな
vyama 「バグ取れワンワン」
バッファオーバランという根拠 (スコア:2, 参考になる)
mov_fencepost.jpg - on most platforms, causes a crash due to mov
destination fencepost error after going past allocated memory, or
after accessing a bogus address such as 0x27272727. The destination
address appears to be controllable (i.e. changing the file or
displaying other data before or along with this image alters it).
My bets are that this is exploitable for remote execution.
後半で「destination address は制御できるみたい (ファイルを変更したり
他のデータをその前あるいは同時に表示すると変わるから)」とあります。
確たる証拠というほどのものはないようです。
発見者はソースを見る権利のない人で、リバースエンジニアリングも
していないようです。
Firefox日本語版の未修正脆弱性は12件です。 (スコア:3, 興味深い)
http://www.mozilla.gr.jp/forums/?mode=one&namber=23132&type=23070&space=30& [mozilla.gr.jp]
2005/07/18時点で・・・ (スコア:2, 興味深い)
IEがハングアップしました(全ての端末で起こった)。
なんかあるんですかねぇ?(3度目以降はおきなかっら
俺には関係ないですな (スコア:1)
それにしてもリリースが遅れ気味だからといって,IEの方がFirefoxより安全 [srad.jp]と書いていたAC氏はお気の毒ですが・・・
# 明日はわが身?(w
Deer Park WPS 1.0+ [srad.jp]
Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8b4) Gecko/20050716 Firefox/1.0+
Re:Firefox 1.0.4の脆弱性にも実証コードが公開されて (スコア:1)
「現状Firefox=IEの状態」と言われるのでしたら
Firefox 1.0.4の脆弱性にも実証コードが公開されているのか?
# 調べないで書いているので,実質「教えて君」で済まぬ
Firefox ユーザーの方にもお尋ねしたい。
Firefox 1.0公開後「穴が狙い打ちされた」実際例をどなたかご存じか?
# OS/2には英語版しかないのでID
Firefox 1.0.5
Mozilla/5.0 (OS/2; U; Warp 4.5; ja-JP; rv:1.7.9) Gecko/20050713 Firefox/1.0.5
Re:Firefox 1.0.4の脆弱性にも実証コードが公開されて (スコア:1)
実証コードが無ければ脆弱性があってもいいのか?
マイナーであるが故脆弱でも危険は少ないというのはメジャーにはなりたくないのか?
というか、昔、MSの幹部も似たような発言していなかったか?
記事で見た記憶があるのだが…
#たしか、その記事の後、しばらくして、セキュリティホールを狙うWebサイトがちらほら出てきたような…
Re:穴が狙い打ちされたら脆弱性の数の問題ではない。 (スコア:1)
と考えれば、公開されてからの修正までの期間が安全度を示す指標になるのでは?
半年・1年放置はダメだよね。
で、↓偉い人↓が、修正実績をまとめてくれると。
Re:穴が狙い打ちされたら脆弱性の数の問題ではない。 (スコア:1)
対応の不味さは貶されてしかるべきだが
対応の早さは誉められてもいいよな。
Re:穴が狙い打ちされたら脆弱性の数の問題ではない。 (スコア:1)
メモリリークが直されただけなのでしょうけど、1.0.4と比較して凄く速くなりました。
#1.0.4が駄目だったという話もある。
この先、アップデートは英語版とローカライズ版を同時に出してくれると嬉しいかも。
というか、出すべきでしょ。セキュリティ上の観点からも。
できればソフトウェアの更新も同時で。
一番危険なブラウザは! (スコア:1)
Netscape8.xは、現行ブラウザの中では一番危険というわけですね。
被害発生状況の比較とか (スコア:1)
そういうデータって、なかなか出てこないですよね。大人の事情でしょうか。。。
Re:被害発生状況の比較とか (スコア:1)
セキュアであるという問題ではないでしょう。
アプリケーションのセキュアの程度は日々変わるのですから。
また、リリースされてから数年が経て、ユーザ数も圧倒的に
多いアプリケーションと、それほど月日がたっておらず
ユーザ数も少ないアプリケーションのセキュア度を比較する
時に、その被害発生数では比較するための基準がないでしょう。
比較するとしたら最新バージョンでの被害数しかありませんが、
実際のところは被害数はほとんど変わらないと思います。
つまり、両者ともほとんど被害はありません。
全くないとは言い切れませんが。
短期的(たとえば半年や1年)に公知のものとなった脆弱性の
数で言えばFirefoxはIEよりもかなり多いですが、Secuniaが
最高の危険度と評価した脆弱整数ではFirefoxが1つに対し
IEは2つです。
結局何が言いたいのかといいますと、「穴に対する非難の応酬」
と同様、どちらか安全か危険かを参考にならない数字で納得
しようとしても無駄だということです。
Re:被害発生状況の比較とか (スコア:1)
まあ、いいんじゃないですか? (スコア:0)
Re:まあ、いいんじゃないですか? (スコア:3, 参考になる)
Re:まあ、いいんじゃないですか? (スコア:1)
w3m [sourceforge.net]。もちろん、こいつにも脆弱性 [sourceforge.net]はあったんで、それで安心というわけじゃありませんが。
;;; w3mって言ってみたかっただけ ;-)
Re:未だに (スコア:2, 興味深い)
C# と VB.NET の入門サイト [wankuma.com]
Re:いやいやIEは未だ重要な地位にありますよ (スコア:2, おもしろおかしい)
他の用途では「最も普及してしまっている」という理由で使ってませんけど。
Re:いやいやIEは未だ重要な地位にありますよ (スコア:1)
サーバー名さえ分かっていれば。
Re:いやいやIEは未だ重要な地位にありますよ (スコア:1)
--
「なんとかインチキできんのか?」
Re:未だに (スコア:1, 興味深い)
Firefoxはショートカットを使えなくしたんで見限りました。
Re:未だに (スコア:0)
自分で使わないでおいて使えなくしたと他所のせいにするとは
おめでたいですね。
まあ、私もチェックだけで常用してないのでどうでもよいですが。
Re:未だに (スコア:1, 参考になる)
このスレッドの騒動もまだ収束していないのに。
安全なブラウザなんてほとんどないんですよ。
賢明なスラド読者はそれを認識してるはずですが、
いまだにIEで脆弱性が見つかったからといって
大喜びしている人を見ると、もう涙が出てきますね。
早く現実が理解できるよう頑張ってください。:-p
Re:未だに (スコア:1)
Internet Explorerですよ。 使いやすいんだもん。
OSと半ば一体化している点、最新の仕様に対する準拠度はFirefoxやOperaに劣るんだよなぁ。 とわかっていても、圧倒的に使いやすいので。 逆にここをのぞくような人だからこそ、あえてInternet Explorerを選べる人もいると勝手に思いこんでいますが。 ま、あたしはそれほどの人としてInternet Explorerを選んでいるわけじゃないんですけど。
むろん、Internet Explorer一本ではなく、観るものによって持ち替えたりはします。 それぞれ得手不得手はありますもの。 でも、メインはInternet Explorerですね。
Re:未だに (スコア:1)
ただJavaとアクティブスクリプトとアクティブXは切ってますが.
最近はFlashを使ったページやスクリプトで飛ばすページが多いので
困りもの.
#そういうところでよく行くところはイントラネットなり何なりの
#分類に登録して,スクリプトやらをダイアログ表示させて使ってる
#んでまあ致命的ではないのですが.
Re:未だに (スコア:0, フレームのもと)
他のブラウザを使えば、あなたの屑コメントを見られずに済むのなら、IEを使ってる私は我ながら可哀想だなと思うわけですがなにか。
ついで、Windowsの脆弱性しか可哀想に思えないとは、都合のよい耳と目をおもちなんですね。ご立派な方なんですね。
Re:未だに (スコア:0)
ついでに「くそMSが。使いにくいんだよ」とぼそぼそとつぶやきながら操作するのは見るに耐えないというか
Re:未だに (スコア:0)
IEでまごつくような複雑な操作なら、Firefoxでもまごつくと思う。
IEが嫌いな別の理由 (スコア:0)
セキュリティより精神の安定によろしくないんだけど、使ってる人はどうやって回避してるの?
Re:IEが嫌いな別の理由 (スコア:2, 参考になる)
おうちでもゲームの時しか音出しません。
そもそもクリック音も気になりません。
第一、
サウンドとマルチメディア-サウンド-ナビゲーション開始
のサウンド設定を変えれば音でなくなりますし。
Re:未だに (スコア:0, オフトピック)
ほっときなさいな。
でも、ユーザ数が少ない方がターゲットにされにくいというのも
あると思う。ちゃんとアップデートしていかないと、なに使って
てもしょーがないのはもちろんですけど。