wakatonoによる
2004年01月29日 12時08分の掲載
変わり身の術部門より。
変わり身の術部門より。
いくつかタレコミをもらったが、その中からtamo 曰く、 "IE の @ を使った URI 偽装は修正される予定ですが、 本家記事 Another Serious MSIE Hole によると、 InfoWorld が新たな IE の重大バグを報告 しています。ファイルをダウンロードするとき、「保存する」を選ぶと、保存先では 拡張子が txt や pdf などの一見無害なファイルになるように見えるのに、 「開く」にすると (って、そんなことするかフツー)、 notepad や acroreader で開くのではなく そのファイル自体を実行してしまうというものです。 こうした未修正のバグを幾つか組み合わせることで、非常に凶悪な exploit ができてしまうため、IEを使う人は十分に注意してください。"
また、greentea曰く、"ITmediaの記事によると、スクリプトと実行ファイルを仕込んだHTMLファイルを「フォルダ」に見せかけることで、Windows XP上で任意のファイルを実行させるという攻撃手法が報告された。この手法を実証するWebサイトが公開されている一方、残念ながら、「信頼できるユーザーだけがシステムにアクセスできるようにする」「不審なフォルダは開かない」「最新の定義ファイルに更新したウイルス対策ソフトを用いる」といった基本的なこと以外に対策はないという。"
月刊マイクロソフトの来月号で修正されるかなぁ…
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
やってみた。 (スコア:4, 参考になる)
メール添付じゃなくても、WebサイトやFTPサイトなんかに無造作
においてあったらヤバイ。
かなりヤバイ。
要するに、ディレクトリじゃないのにディレクトリであるかのよう
に見えるHTMLが書いてあって、ファイルを実行しほうだい
ってことだね。
気をつけて見ると、ディレクトリに見えるのにファイルサイズがあ
るので変だなと思えるけれど、サイズを表示していなければまっ
たくわからない。WebブラウザにIEを使っていないからといって安
心できるってもんでもない。
ファイルナビゲーションにエクスプローラを使ってないのなら問
題ないけれど、そんなひとあんまりいないでしょう。
ちなみにDOSプロンプトで見ると、あからさまに怪しいのがわか
る。
WindowsXPでしか検証していないけれど、98その他ではどうなん
だろう。それから回避策ってあるのかな。
とりあえず入手元の怪しいファイルは気をつけるくらいしかない
のだけれど、ファイルサーバに何気なく置いてあったらわかんな
いよなぁ。
とにかくヤバイ。
Re:やってみた。 (スコア:3, 参考になる)
ごめんなさい。
ディレクトリじゃないのにディレクトリに見えるっていうのは、
ファイルの中身じゃなくて.folderって拡張子が問題なだけだったのね。
じゃあ当面はdensukeさんの言うとおり拡張子に気をつけ [slashdot.jp]れば
いいわけだ。
ってそれもひどいな。どのみち注意しないとわからんぞ。
親コメント
月刊マイクロソフト (スコア:3, おもしろおかしい)
こう書くと、本よりも付録の方がメインの某Dアゴスティーニ社の
シリーズみたいに、知らない間に廃刊されそうで怖い...
IEのURL詐称の問題修正プログラムもリリースがまだ (スコア:2, 興味深い)
また、Windows Updateでパッチを適用後、適用済みのパッチがリストに再び出現するバグというのも発見されているそうです。(中央通りにあるツクモの電光掲示板で1月28日午後7時20分頃確認)
Super Souya
Re:IEのURL詐称の問題修正プログラムもリリースがまだ (スコア:2, 参考になる)
脆弱性への対応とはいえ、http://username:password@server/ の形式で、BASIC 認証のかかったサイトにアクセスするのができなくなるのは、個人的にちょっとつらいです。
発覚から修正までに時間がかかりすぎていると思ったら、こんな仕様変更を伴わざるをえなかったからなのか……。
親コメント
Re:IEのURL詐称の問題修正プログラムもリリースがまだ (スコア:2, 興味深い)
これってRFCで規定されている(Nice to haveかもしれんけど)形式ですよね?
これの対応を止めなければ解決できないような問題なのでしょうか?
親コメント
一番目のExploitの実証サイト (スコア:1, 参考になる)
http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/
というのがあります。
Re:一番目のExploitの実証サイト (スコア:5, 参考になる)
本物のpdfならば「Adobe Acrobat 文書」等のように表示される所だ。
この部分を毎回確認する事により危険を避けることが出来るだろう。
また、一旦保存してから開く事によっても問題を避けることが出来る。
次に、実際どういう仕組みなのか調べてみよう。
以下の物はtelnetで確認したHTTPヘッダだ。どうやらContent-Dispositionの所がミソらしい。
2個目のピリオドがエンコードされているせいで、IEはファイルの
拡張子を.pdfではなく.{3050f4d8-(中略)%2Epdfであると解釈し、
同GUIDに関連付けられたアプリケーションであるmshta.exeで
ファイルを開いてしまうようだ。
ちなみに一旦保存すると、%2Eが.にデコードされるため、
.pdfという拡張子のファイルとして扱われるようになる。
親コメント
Re:一番目のExploitの実証サイト (スコア:2, 参考になる)
RFC2616 [ietf.org]の Section15.5 とか見ても この Content-Disposition ってろくなもんではなさそうですねぇ
親コメント
フォルダに見せかける、の方ですが (スコア:1)
サンプルを見て見たのですが、添付ファイルつき (?) の HTML ファイルが、拡張子 .folder で保存されているだけみたいなのですが、これってつまり、XP は拡張子 .folder が付いていると、エクスプローラ上ではフォルダに見えちゃう、ということなのでしょうか?
こういう動作って、レジストリ書き換えれば変更できたりしませんでしたっけ?
# 今手元に XP がないので実験できないけど ID
むらちより/あい/をこめて。
Re:フォルダに見せかける、の方ですが (スコア:4, 参考になる)
この様子だと、ここにある拡張子は一通りチェックしておいたほうがよさそうです。
MS系の管理者さんはこの後拡張子おっかけに走らされたりするのかな...
-- やさいはけんこうにいちば〜ん!
親コメント
見かけがフォルダってだけなら (スコア:1)
#すっかりエクスプローラでディレクトリツリーを辿る癖が付いてしまった(ぉ
「何か、忘れてる気がするんだよなあ……」
カートチーム「風来旅団」 [fuurai.org]
疑問 (スコア:1)
IEの場合は「とりあえず開いてみるべ」か・・・
本当にMSの製品?
# それともMSは拡張子を過去の遺物として葬りたいのか!?
This comment is posted in the hope that it will be useful,
but WITHOUT ANY WARRANTY.
Re:疑問 (スコア:3, 参考になる)
親コメント
応急処置 (スコア:1)
セキュリティ memo に流れた kjm さんのメール<86421.1075351979@ideon.st.ryukoku.ac.jp>によると、
> レジストリ HKEY_CLASSES_ROOT\.Folder を削除して再起動すれば、
> .folder なファイルをフォルダとして扱うのは止まるようです。
……だそうです。
This cookie has a scrap of paper inside. It reads:
If you can't learn to do it well, learn to enjoy.
Re:普通、しませんか?「そんなこと」 (スコア:1)
こっちでもダメなら、良くやるので気をつけないと…
戦わずして人の兵を屈するは、善の善なるものなり
親コメント