パスワードを忘れた? アカウント作成
Close
5503 story

Flash広告にXSS脆弱性 32

ストーリー by GetSet
影響範囲は大きいか 部門より

zyass曰く、"NetSecurityの伝えるところによると、Flash広告に関して脆弱性が発見された、とのこと。任意のスクリプトをインジェクションできる問題があったとのことで、これを悪用することでクロスサイトスクリプティング(XSS)などの攻撃を行うことが可能となっていた。
すべてのFlashプレイヤー、及びすべてのclickTAGを用いたFlash広告を利用しているサイトに影響があるとされている。利用者側でもっとも簡単に対処する方法は「JavaScriptをOFFにしておく」ことだろう。"

Update: 04/15 08:40 GMT by O: CSSだとCascading Style Sheetと紛らわしいので、XSSに修正した。今後もなるべくクロスサイトスクリプティングはXSSに表記を統一したいので、タレコミ等の際にはよろしく。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Flash広告にXSS脆弱性 More

  • この問題を解説したMacromediaのFlash TechNotes [macromedia.com]では、Flashファイル製作側できちんとclickTAGを評価するべきであり、Flashプレーヤー側では別段対策を講じない (新しいバージョンは出ない) とあります。XSS脆弱性があるCGIフォームを作れるからといって、WWWブラウザーがフォーム機能に手を加えないような理屈です。
    でもユーザーが安心して使うためには、Flashプレーヤー自身に対策を施してくれる方がありがたいのに。「CGIと違ってFlashはXSS脆弱性が起きにくいですよ」「こんなにセキュリティーに気を遣っていますよ」とアピールする材料になると思うけれど。がっかり。

    • Re:Flashプレーヤーの新バージョンはナシ (スコア:1, 興味深い)

      by Anonymous Coward on 2003年04月16日 1時18分 (#299328)
      >>でもユーザーが安心して使うためには、Flashプレーヤー自身に対策を
      >>施してくれる方がありがたいのに。「CGIと違ってFlashはXSS脆弱性が
      >>起きにくいですよ」「こんなにセキュリティーに気を遣っていますよ」
      >>とアピールする材料になると思うけれど。がっかり。

      御説ごもっとも。
      しかし、かといってガチガチに固めてしまうと機能が限定されてしまい、
      用途の範囲が狭まってしまって台無しになることもあります。
      Javaなんてのはその典型で、通信がダウンロードしたサーバとしか通信できない
      というような制限を設けたために、ブラウザ上で動く通信ソフトの機能が
      限定されてしまいました。
      よく知らないですが、ドコモの505のiアプリDXはその制限が外されるとか。
      セキュリティを理由に制限した機能を、機能優先で制限解除したということでしょうか。

      余談ですが、iアプリDXはダウンロードしたサーバ以外との通信も可能で、
      さらに電話帳や着信履歴にもアクセス可能だそうですが、その内容をどこかの
      サーバに送信して集計するというアプリも作れちゃうのでしょうかね。
      シェア
      親コメント

      • iアプリDXに関しては詳しくないのですが、au の、保護がゆるめのネイティブコード版 ezplus である BREW は個人配布出来ないようです。
        KDDI がセキュリティチェックを行った後公式サイトからのみ DL 出来るようにするからだそうです。

        ただ、その辺りのポリシーが明示されない限り KDDI がチェックすると言ってもあまり信頼出来ない気がするし(Spywareとか)、何より個人レベルで遊べるものではないので私が BREW 対応機種に乗り換える事はなさそうな感じです。
        今のところ BREW 対応機種は ezplus 使えませんしね。

        シェア
        親コメント

      • 拡張もいいけど (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年04月16日 9時16分 (#299414)
        拡張した機能(とくにセキュリティを犠牲にした場合)は、デフォルトでOFFにするか、最低限ユーザーが遮断できるようにするべきだと思います。

        # いつも同じこと言ってますが、繰り返し言う必要があると思うので

        ### ID持ってないのでAC ###
        シェア
        親コメント
      • セキュリティを理由に制限した機能を、機能優先で制限解除したということでしょうか。
        恐ろしい話ですね。MSの行為なら叩かれる話だろうに。
      • >余談ですが、iアプリDXはダウンロードしたサーバ以外との通信も可能で、
        >さらに電話帳や着信履歴にもアクセス可能だそうですが、その内容をどこかの
        >サーバに送信して集計するというアプリも作れちゃうのでしょうかね。

        仕様が公開されたので見てみるといいですが、そんなことはで

  • 選択の自由を (スコア:2, 興味深い)

    by Anonymous Coward on 2003年04月15日 18時16分 (#299054)
    そろそろブラウザ側で使うプラグインを自由にON/OFF出来る機構が欲しいところ・・・
    インストールしてあるプラグインを無条件実行だとアンインストール以外に避けようがないですからね。

    • Re:選択の自由を (スコア:1)

      by tmi (13268) on 2003年04月15日 22時00分 (#299188) 日記
      昔の Macintosh の Netscape Navigator では,ファイルの種類 (MIME タイプだったか拡張子だったか) ごとにプラグインを使うか,外部アプリケーションで再生するか,あるいはファイルに保存するかが選択できたと思います.

      ちなみに,Mozilla の about:plugins [about] ではプラグインの MIME タイプごとに Enabled の欄が設定されているので,どこかでプラグインを使用するか否かを設定できるのかも…
      シェア
      親コメント

  • 鬼のように影響範囲広いのですが、、 (スコア:2, 興味深い)

    by Anonymous Coward on 2003年04月16日 8時03分 (#299392)
    昨年秋でしたか、Lycosから広がって次々とFlash広告が解禁になって行きました。今では日に三度はFlash広告見るようになった気が、、
    一方Flashは携帯に乗り出そうとしていますしMacromediaは仕様と言い張る、、かなり危険な気がします。

    業者が管理しているからXSSの不正利用のようなマネは起こりえない、、なんて思えません。それは英語圏のgatorで懲りました。ごく普通の個人ページに配信される広告でActiveXを利用した悪質きわまりない所作、裁判で判決が下ってやっと大人しくなりましたが、、
    • 日に三度どころか、広告収入で運営するニュースサイトなどはFlash広告を
      使っていないサイトを探すのが難しいくらいですね。
      GIFアニメーションより表現力もあって、しかも同程度の内容であれば
      ファイルサイズが小さいという利点があるんですよね。
      インタラクティブな広告も作れますし。

      なお、いくつかのサイトを見てみましたが、clickTAG使ってますね。
    • 普段からテキストブラウザのみなので、Flash広告はまず見ることはありません。
      職務上見なきゃいけないとこのトップにFlashのみ使われてると、
      仕方なく他のブラウザ立ち上げてますけど。

      最近テキストブラウザに配慮されたページが減って来てる気がしないでもない…
      企業のサイトもデザイン優先って感じでデザイナーに丸投げとかしてるのかなぁ?

  • Flash広告って? (スコア:1)

    by tmi (13268) on 2003年04月15日 17時54分 (#299040) 日記
    「Flash広告」って何でしょうか?

    普通に Flash を使った方法かと思ったのですが,そうだとしたら
    XSS 脆弱性が存在するのが広告だけというのは腑に落ちません.
    同じ技術を使って広告以外の swf を作ることもできますよね.

    あるいは,「Flash広告」または「Flash AD」というものが
    あるのでしょうか? AD ってのは MX や XP や 200x などと
    同じで,特に意味はないとか…

    • Re:Flash広告って? (スコア:1, 参考になる)

      by Anonymous Coward on 2003年04月15日 18時20分 (#299058)
      マクロメディアがリッチメディアアドバタイジングなどと称して、Flashによるバナー広告というのを提唱していて、それを“Macromedia Flash AD”と呼びます。FlashではなくDirectorによるバナー広告だったら“Macromedia Director AD”とかいう感じで。

      #“Flash広告”と、半端に訳す意図はわかりませんけど。

      >普通に Flash を使った方法かと思ったのですが,そうだとしたら
      >XSS 脆弱性が存在するのが広告だけというのは腑に落ちません.

      リンク先にもあるように、Scan Daily EXpressなどは広い範囲に影響があってセキュリティリスクが高いとしているわけですが、マクロメディアがセキュリティリスク低などと判断しているわけです。
      シェア
      親コメント
    • 俺、一般のサイト(ここを含めて)アクティブスプリクトoff、フラッシュの実行は問い合わせにしている。
      だけど最近、メニューをフレッシュで作る所が増えてきている。
      仕方なく許可しているが、大抵アクティブスプリクトも許可しなければ動かない。
      画像などをアップさせて広告表示している場合と同じようにフラッシュをアップロードさせ、他のフラッシュと区別なく表示している場合、恐くてメニューも動かせないね。

      デザイナーとかのサイトでは人気があるフラッシュも、危険なので開かない方が良いのだろう。
      スプリクト動かさなければ安全なのかもしれないが、安全だと思い込むとろくな目に合わない気がする。
      シェア
      親コメント

    • Re:Flash広告って? (スコア:0)

      by Anonymous Coward
      "AD(アド)" は advertisement つまり広告の略語ですね。
      特に深い意味はないっす。
  • http://internet.watch.impress.co.jp/www/article/2003/0319/flash.htm
    これとはまた別、というか逆のパターンですね…。

  • 新聞社 (スコア:1)

    by tah (12141) on 2003年04月17日 11時07分 (#299990)
    毎日新聞のトップページ下部にある Flash 広告(現時点では SONY)は、見事に今回の XSS が発生します。
    http://adi.mainichi.co.jp/ad/image/FLASH/sony030411co.swf?clicktag=javascript%3Aalert%28%22Hello%22%29

    朝日新聞では「アサヒ・コム:FLASH 広告素材作成についてのお願い」に注意事項が載ってますね。
    http://www.asahi.com/advertising/info/flash.html
    いつ掲載したんでしょうか?以前から知っていたとか?

    • Re:新聞社 (スコア:0)

      by Anonymous Coward
      http://www.safecenter.net/crosszone/Top/ServerSide/Dir-SS-Known/SS-All.asp
      のマクロメディアのところで、ずいぶんと昔から、
      XSS脆弱性がのっていましたが、これは今回の脆弱性と本質的に同じでしょうか?
      それとも別原因でしょうか?

  • CSS vs XSS (スコア:0)

    by Anonymous Coward on 2003年04月15日 17時01分 (#298996)
    XSSって略称で定着したもんかと思ってたけど、別にそうでもないんですね。
    個人的にはXSSのほうがいいと思うんだけど。
typodupeerror

※ただしPHPを除く -- あるAdmin