なくならないXSS部門より
jbeef曰く、"「セキュリティーホール調査」と題する日本語で記述されたWebサイトに、多数の脆弱性情報が公開されている。いくつかは「パッチ/対策済み」とされているが、半分以上が「未対策」とされている。「私が発見した」と書かれており、BUGTRAQ等には投稿されていないことから、「未発表」な「国内産」の脆弱性情報であると言える。各ページには「概要」「影響を受ける環境」「方法」「危険性」「対策法」が記述されているが、ベンダーの対応状況は書かれておらず、ベンダーへの通知なしに暴露されたものかもしれない。
公開されているものには、IE、Windows Media、Real Player、Winamp、Microsoft Word、PowerPoint、Googleツールバーに関するものの他、DonutPやSleipnir、Lunascapeなど、国産の「タブブラウザ」に関する脆弱性がある。さらには、Webサイトの脆弱性として、国内のメジャーサイトのクロスサイトスクリプティング脆弱性が多数(Yahoo! Japan、MSN、Infoseek、goo、NAVER、livedoor、楽天、はてな、excite、Doblog、2log、amazon.co.jp、UFJ銀行、ジャパンネット銀行、Bidders等)と、Hotmailとgooフリーメールの脆弱性が公開されている。
このページがいつから公開されていたかは不明であるが、"www2.sala.or.jp/~uuu/security/"で検索してみると、今年5月下旬からローカルな掲示板等では既に話題になっていたことが観察される。この人物は、かつて、2001年にも同様の情報を公開していたことがあった。セキュリティホールmemo 2001年12月25日付の「知能力学研究所」の部分にその記録がある。archive.orgの記録によると、当時「セキュリティー情報(ネット海賊ネコネコ団)」と題して公開していたが、後に「準備中」という表示になって閉鎖されていた経緯がある。"
これを書いておかないとまずいと思う。 (スコア:2, おもしろおかしい)
発見日 = 未対応の確認日、というのが... (スコア:2, 参考になる)
全部チェックしたわけじゃないですが、問題のサイトでは「未対応」となっているけど、実際には対応済みというところも結構あるようです。
mozilla (スコア:2, 参考になる)
mozillaCSSにおけるjavascript起動 (スコア:2, 参考になる)
朗報!と思いまして脊髄反射で手元で試験しました。最新版のFirefoxで検査しましたが、以下のことが判明しております。
formのinput要素のスタイル指定で背景画像のURIにjavascriptを指定すると作動いたしました。location.replace関数で見事にgoogle.comに飛んでいきました。
スラドのXSS対策が効いて全角がまざったりしますが検証したコードを書いておきます。urlの中の”は実際には文字参照してください。ここで文字参照書いても駄目みたいなので。
[input type="text" style="background-image:url('javascript:location.replace("http://www.google.com")')"]
| 慈愛こそ慈愛
親コメント
公開の必要性 (スコア:1, すばらしい洞察)
ベンダーへの通知より先に公開してしまうことにはどんなメリットがあるんだろう?
一般ユーザのセキュリティ意識を高める?リスキーすぎると思うけどなぁ。
Re:公開の必要性 (スコア:2, すばらしい洞察)
#ベンダに通告することに報告者に何のメリットもない上、業務妨害等恫喝される可能性すらある以上、私もこれが正しい脆弱性の公開方法だと思いますね。
親コメント
Re:公開の必要性 (スコア:2, すばらしい洞察)
(恫喝ではなく)実際に訴えられる可能性があると思えるんですが。
ベンダへの通告に報告者にメリットがないのは同感です。
ただ、私にはベンダに報告しないリスク(デメリット)の方が大きい様に思えます。
# 間違いがなくても訴えられるリスクは考えた方が良い気がしますけど。
親コメント
脆弱性報告窓口 (スコア:1)
制度化しようとしているところですが、
まだ現実的になってないですね.
経産省のソフトウェア脆弱性報告基準が施行、運用が始まる [slashdot.jp]
IPAが脆弱性の通報・告知・公開の体制作りを提言 [slashdot.jp]
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
タイトルが切れてしまった (スコア:1)
未対策・未発表な多数の国内産脆弱性情報が暴露
Re:このサイト管理者の連絡先 (スコア:1, 興味深い)
yahoo.co.jpも利用できますが、「実アドレス」として使う人はいないでしょう。
親コメント
Re:まずいね (スコア:2, 参考になる)
親コメント
Hiki なページ立てさせて頂きました (スコア:3, 参考になる)
親コメント
Re:まずいね (スコア:2, すばらしい洞察)
たまにC:\とかフルパス指定で展開されて
どこに展開されたのかよくわからなくなることがあります。
これも脆弱性の一つなのかな?
LAN内LAN稼働中
親コメント
Re:まずいね (スコア:2, 参考になる)
9xだとAllUsersみたいなのが環境によってあったりなかったりだった気もしますが、
上書き警告をOFFにしてたら、autoexec.batを上書きしてしまえばとか有りますね。
天琉陳(Teruching)
親コメント
Re:まずいね (スコア:2, 参考になる)
・Windows95→「SETUP /AT」でOSをセットアップする。
・Windows98→HDDをフォーマットした後、「SYS /AT」でシステム転送する。
その後普通にセットアップ。
・Windows2000→普通にセットアップするだけでC:ドライブ(またはそれ以降)になる。
#むしろ、Aドライブセットアップするほうが苦労します(NT4からアップグレードしかない)
>MS-DOSにパッチを当てれば
PATCH IO [vector.co.jp]ですな。
親コメント
Re:脆弱と言えばM$の代名詞 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
親コメント
Re:脆弱と言えばM$の代名詞 (スコア:2, 興味深い)
[google:脆弱 Windows] [google.com] 139000
[google:脆弱 microsoft] [google.com] 98000
[google:脆弱 マイクロソフト] [google.com] 76900
[google:脆弱 リナックス] [google.com] 6480
ま、だからLinuxが安全で、MS-Windowsが危険、と結論できるものでもありませんがね。
親コメント
Re:サイトが休止した模様 (スコア:1, 参考になる)
親コメント
Re:はてなダイアリーにおける対策実施 (スコア:1)
| 慈愛こそ慈愛
親コメント