IE6にIFRAMEタグ関連の脆弱性が見つかる 101
ストーリー by GetSet
便乗ウィルスも出ているようで 部門より
便乗ウィルスも出ているようで 部門より
YellowTurtle曰く、"セキュリティホールmemoを見て気づいたのだが、どうやらInternet Explorer 6に脆弱性が発見された模様。すでにexploitが公開されている。
対象は、Windows2000 or WindowsXP SP1 + IE6の組合せ。IFRAMEを悪用し、細工を施したHTMLコードを読ませることでバッファオーバーフローを引き起こし、任意のコードがリモートより実行される恐れがあるらしい。
patchが無い現在、XPのSP2を適用するか、ブラウザを乗り換える程度しか対策が無いようだ。"
Internet Watchの記事によると、この脆弱性を利用したMydoomの亜種も確認されているとのこと。XP SP2を使えない環境では、patch公開までIE6の利用を自粛したほうが無難かもしれない。
スコア: -2 オフトピック (スコア:3, おもしろおかしい)
画像にポインタを乗せると文字だけのページに移ってしまうような書き方をしてるSanDiskは逝ってよしですか?
# IEがファイルの中身を見て処理を決めてしまうせいで、
# 中身はHTMLなのに Content-Type: text/plain なんていう
# まともなブラウザで見るとソースが見えるばかりのトンデモなCGIを作ってしまっても気づかない、
# サイト管理者に連絡しても対処してもらえないことの根源となったIEは極悪ブラウザだと思ってます。
# そんなスクリプトを書いた人も大馬鹿者ですけど。:-p
Re:スコア: -2 オフトピック (スコア:1)
MyDoom にも (スコア:2, 参考になる)
http://vil.nai.com/vil/content/v_129630.htm
SP2に上げていない環境も多い現在,また流行しますかねえ
みんつ
Re:MyDoom にも (スコア:1)
この脆弱性はWebBrowser Control自体の脆弱性のため,
記事中にあるように,IE6を使わなければ済む問題ではなさそうです.
みんつ
Re:MyDoom にも (スコア:1)
Super Souya
Secuniaアドバイザリによれば (スコア:1)
Internet Explorer IFRAME Buffer Overflow Vulnerability [secunia.com]
US-CERT VU#842160 [cert.org]
ステータスバーを偽装できる脆弱性 (スコア:1)
こちらの脆弱性もWindowsXP SP2では問題ないようですが。
これって大丈夫ですか? (スコア:1)
「勇気が無くて見られない画像解説スレ」に出てきた危険と思われるアドレス一覧・URL List [infoseek.co.jp]
いつの間にか仕込まれていて、授業中に突然エロサイトのポップアップが出てきた日には。。。「悪徳サイトの仕業だ」と言っても、誰も信じてくれないでしょうねえ。。。
そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1, 興味深い)
Microsoftか?
W3Cか?
表現なんだからCSSでどうにかしろよ。
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
ざっとGoogleで検索した限りは、Netscape Navigator 4.xは対応しておらず、Internet Explorer 3 が最初のようですから、Microsoftなんじゃないですかね。
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
サイボウズに代表されるintranetポータルって、iframeを使う作りの物が多いと思います。
情報量、デザインの統一性、他ドメイン情報のリンク、iframeを使わないとひどくやっかいな代物になりますよ。
(templateはまだマシで他サイトからのresponseをはめ込むのが…)
逆に企業ユースでは「iframeをサポートしないブラウザが採用されない」ことになりそうですが。
むしろゾーニングの問題でしょ。
---- 何ぃ!ザシャー
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
IEがいいとか悪いとかFireFoxがいいとか悪いとか以前に、
この意見にあるようにおらが仕様にあわせろって言う意見は
どうも身勝手な気がしてなりません。
この場合、FireFoxのとるべき行動は、「IFRAME無くせ」ではなく
「IEより優れたIFRAMEタグへの対応」だと思います。
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:2, 興味深い)
itmedia の記事の中で、
と書かれている。
そこで示されてる先のページが今なぜか見られないのでソースが確認できないんだが、もじら組 [mozilla.gr.jp]の Web 標準化 Tips [mozilla.gr.jp] - height: n%;の正しい仕様 [mozilla.gr.jp] で紹介されている間違いを犯している可能性もある。
もしそうだとすると、「おらが仕様にあわせろ」ってのは IE の方ってことになるなぁ。
まあ、ソースが見られないので IE と Firefox のどちらのせいか分からないし、文句を言う先も記事を書いた人(ZDNet/USA の John Carroll って人)になるんだろうけど、ちょっと気になったので……。
ソース見られた人います?
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
overflow: scroll が効かなくなって、
親要素の overflow: hidden がなぜか有効に
なってしまうようです。
下を IE で表示させると最初の div 要素の
内容だけスクロールで見えます。
でも firefox だと scroll が無効になって、
最初の 20pt 文の内容だけしか
見ることができません。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html lang="ja">
<head>
<title></title>
<body>
<div style="height:20pt; overflow: hidden">
<div style="height:100%; overflow: scroll">
A<br>B<br>C<br>D
</div>
<div>
A<br>B<br>C<br>D
</div>
</div>
</body>
</html>
-- 哀れな日本人専用(sorry Japanese only) --
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
# head の閉じタグを忘れたり、日本語のコンテンツでもないのに lang="ja" を指定しているのは多めに見て下さい。(_O_) チェックが甘かったです。
-- 哀れな日本人専用(sorry Japanese only) --
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
ちょっと仰ることが良く判らないのですが。
ということは、overflowプロパティが兄弟要素にも継承しないといけない、ということでしょうか。
手許では有効になっていて、内側の前のdiv要素はスクロール表示されます。後ろのがoverflow: hiddenの影響で表示されないのは正しいのではないのですか。外側のoverflowプロパティを外すとこんな感じになります [ttcn.ne.jp]。 それを高さ20ptのボックスで切り取るとFirefoxでの描画結果になる [ttcn.ne.jp]かと思います。
cite: 11.1.1 オーバフロー( 'overflow' 特性) [y-adagio.com]
内側の後ろのdiv要素は、外側のoverflow: hidden;の影響によりアクセスできなくなってると思います。
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
で、親div で hidden を指定し、子の最初の div で親の height を
越えてしまえば、二番目の div は表示されないで正しいです。
さて、スクロールバーがでないと騒いでしまいましたが、
親のdiv で height を 40 pt にしたら出てしまいました。
これは firefox が悪いのか、Windows98SE が悪いのかよく
分からなくなりました。:-)
で、もって、なんとなく分かってきたのですが、以下でやっぱり
firefox でスクロールバーが出ず、 IE で出ます
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<title></title>
</head>
<body>
<div style="height:40pt; overflow: hidden" id="1">
<div id="2">
<div style="height:100%; overflow: auto" id="3">
A<br>B<br>C<br>D
</div>
<div id="4">
E<br>F<br>G<br>H
</div>
</div>
</div>
</body>
</html>
これで、id=3 の div の overflow を scroll にするとわかるの
ですが、id=2 の div の height の計算がどうなっているかが
問題なんじゃないかなぁと思います。
firefox では見えないところもマウスでドラッグして選択しようと
するとスクロールバー無しでスクロールしますし。
-- 哀れな日本人専用(sorry Japanese only) --
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
はい。再現しました。
で、何が問題なのですか。overflow: auto;でスクロールバーが表示されるのは必須ではないそうです。原文では "should" ですが。Mozillaではスクロールバーが表示されない挙動をするのは仕様です。
Bug 68390 [mozilla.org] - "overflow: auto" should always display a vertical scrollbar
もう一度書きますが、どのように描画されるべきで、Firefox (Gecko/1.7) が間違っているのかをお教え願いたいです。WinIEが、を抜きにして。
少しくどく。 heightプロパティ [y-adagio.com]は継承せず、デフォルト値はautoです。id="3"なdiv要素 (以下要素名省略) にはheight: 100%が指定されていますが、包含ブロック (id="2") はデフォルトのheight: autoなので明示的に指定されていない、つまり (id="3"の) 内容の高さに依存します。というわけでid="3"は内容すべてを含む大きさになります。すべてが含まれる大きさのブロックになったので、overflow: autoであってもスクロールバーが表示されなくても間違いは無いと思います。id="2"はautoなので3と4の両方を含める高さになり、id="1"については高さが明示的に指定されているのでその大きさでクリッピングされます。
手元のWinIE6は、id="1"の高さが (2を経由して) id="3"に継承されているように見えます。外側のブロックから順に計算していけばWinIE6のようになりますが、これじゃ継承しないという定義に反するように見えます…。順序ってどこに書いてあるのかな。
私のような素人が書く文章より、heightプロパティの注意点~内容が大きい場合 [mozilla.gr.jp] / height: n%;の正しい仕様 - Web標準普及プロジェクト [mozilla.gr.jp]あたりも参考になるかと思います。
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
- 137 ページから height の仕様により
パーセンテージの計算法は
ブロックを含んでいる生成されているボックス
の高さに対する割合から計算するようです。
- height が auto の計算法は 138 ページの10.6 章に
ありますが、今注目しているのは 10.6.3 に該当します。
この場合、子要素の高さから算出するようです。
- 1. の計算と 2. の計算で相互に参照しあって決まらない場合は auto にする(height の percentage の定義より)
ということなので、 id=2 のブロックの高さは id=3 とid=4 の 高さの合計になるようです。 で、id=3 の高さが決められないので、結局 100% は auto と 読み替えということですね。 ということで、firefox の方が正しいってことですかね。 id=2 の大きなブロックを id=1 の小さな窓から覗く時、 はみ出た部分を隠すようにしているってことですね。 id=3 でのパーセント指定は無効だということですね。 IE でも height:auto とすると同じになりました。 id=2 で height: inherit とすると双方同じスクロールバーが出ますね。結局あの「firefoxを褒めすぎだ」で使われているスタイルシート では、はみ出た部分は隠しなさいと主張しているってことですね。 で、著者がやりたい内容のスタイルはどう書けばよいやら……
ただ、overflow 属性の hidden を読むと、firefox で ドラッグすると 隠れた部分が見えてしまうのは仕様に反するようです。 (まあ should ですが……) IE では height:auto とすれば隠れた部分を見ることができず、 仕様通りです。
-- 哀れな日本人専用(sorry Japanese only) --
Re:そもそもIFRAMEなんて考えたヤツ誰だ? (スコア:1)
>「IEより優れたIFRAMEタグへの対応」だと思います。
そうですね。
iframeはHTML 4.01やXHTML 1.0のTransitional/Framesetという標準仕様に含まれる要素ですし。
patch公開までIE6の利用を自粛したほうが無難 (スコア:1, すばらしい洞察)
マクロを持ち、決め打ちできるアプリを持つOS・積極的に外部と接続するブラウザが
一体化されているOSを使うことは、どのような脆弱性が
「実際に」見つかろうと見つかるまいと、常に「潜在的に」脆弱といえます。
今回の情報が見つかったから、ブラウザの利用を控えようと言うのは、
危険を回避する手段としては根本的問題の解決になってないし、
問題の所在を理解しないまま偶然回避できているだけに思えます。
ユーザーレベルが幅広い事を考えると、それはそれで悪いとはいえませんが。
丁度、優れたFirefoxが出ているのですから、休止と言う中途半端な
手段ではなく永久に乗り換えても良いでしょう。
理想的には、OSも乗り換えてしまうのが良いですね。
(けど…ある程度万人に薦められるのはMacくらいだなあ)
乗り換えられない事情がある…という人は、Javaを切る等の必要な
対策を施していて、今回の脆弱性も「ふーん、またか、やっぱりね」
なんて思うのかも知れませんw
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:2, 興味深い)
IE コンポーネントなタブブラウザとか Firefox などの別なブラウザをわざわざ入れるのは面倒くさくてやらないけど、検索ツールバーとか入れるひとは結構多いでしょ。そんな感じでセキュリティ fix ツールバーってものがあったらウケるんじゃないですかね。IE の操作性を変えずに脆弱性などの問題だけを直す。正直、IE コンポーネントタブブラウザは表に見える機能が多すぎてとても初心者には薦められません。混乱します。
使ってないから知らないけど Norton Internet Security とかですでに実現してたらごめん。
# Firefox 1.0 が出たから実家のブラウザはそろそろ IE に降りてもらってもいいかなー
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
# IEくらいしかレンダリングしないような汚いHTMLだというのならアレだけど。
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Firefox1.0正式リリースに合わせたタイムリーエラー (スコア:1)
こうなると FirefoxはIEに比べてセキュリティ面でも優位~Mozilla技術責任者 [impress.co.jp]の語った通りで、 ついにバージョン1.0がリリース [itmedia.co.jp]された Firefox1.0 を使うほうが安全。 特に、情報収集目的のネットサーフィンなどでは。
イントラ限定で IE でしか動かないとか、表示できないようなタコなサイトをアクセスする時とか、 オンラインバンク等で、やはり IE でしか動かないけれど、素性は知れた所にアクセスする場合など、「仕方の無い」場合に限って IE を使うようにした方が安全。IE でしか動作を保証していなくても、実際には Firefox で問題なく動くところが大半。
逆に、モロに IE でしか動作しないようなサイトは、サイト構築側の技術力に問題大有りの場合が多く、 IE でアクセスしてもまともに動作しない事が良くあるトラブル多発サイトの場合が多い。こういう所では、どのみち XP SP2 での動作も当然保証できないと思われますが・・・
Re:Firefox1.0正式リリースに合わせたタイムリーエラ (スコア:1)
1)狼少年かどうかはともかく現状では主な環境はIEであり、Windowsである。
MozillaのシェアはIEに較べると少なく、クラックカーのターゲットにされることは少なく、
ホールハンターのターゲットにもなりにくい。
幸か不幸か現状況下ではFireFoxがIEに較べて安全であるというのは充分信用できる話だ。
2)Microsoftは充分な成功を収めてきた営利企業であり創業者のBillGatesは
世界有数のお金持ちだ。これに対しFireFoxはオープンソースと言うボランティア
活動でなされた成果だ。よその芝が青いのが嫉ましいか。通常のユーザがからすれば
無償で充分な機能を提供してくれるFireFoxを応援したくなるのは当然ではないだろうか。
3)Microsoftは今では世界で一番のOSシェアを持っている。そうなるために同社は
努力を惜しまず、また努力を惜しんでいない。ユーザの関心が機能にあるときは機能を、
セキュリティにあるときはセキュリティを提供してきた。他の性能をおとしめたとしても。
WindowsがMSDOSから完全に脱却するまで10年かかった。いやまだ引きずっている。
Steve Ballmer CEOがセキュリティを重視して移行変化はある。しかしまだだ。
#言い方がきついだけでオフトピックをつけるのは間違いでしょ
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:Firefox1.0正式リリースに合わせたタイムリーエラ (スコア:3, すばらしい洞察)
しかなりません。
>あと私は昔何かの雑誌でネスケ4.xのコードの汚さを知って以来
>使ってない。(落ちまくって当然の品質だった)
現行のMozilla/Firefoxは、当初ネスケ5となる予定だったプログラムの
未完成なもののコードをNetscapeが公開したことからプロジェクトが
始まっています。未完成で、「一応コンパイルできる」程度のものだった
ということです(自分でチェックしたわけでないので伝聞形)。
ネスケ4のコードは確か公開されていないはずではないでしょうか。
また、されていたとしてもMozilla/Firefoxには関係ないですし。
そして、例えばレンダリングエンジンのGeckoは一旦全てのコードを
破棄して作り直しています。また他の部分も同様にコードの書き直しを
しているでしょうから(推測)、今となってはNetscape Navigatorが
元となっているコードはほとんどないのではないでしょうか(さらに推測)
まぁ、書き直したからバグ全然ないよとかセキュリティホールないよ
とかいうわけでは全くないのですけどね。
でもそんなわけで、ネスケ4のコードが汚くて使い物にならないという話は、
今Mozilla/Firefoxを使わない理由には全くならない。認識違いで
なければただの詭弁でしかない。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:3, 参考になる)
- ブラウザがOSの根幹的な機能に関与している(OSの一部だそうだから)
- ブラウザの動作権限が大抵 Administorator なので、システムファイル・プロセスまで上書きできる
- ファイル・システム構成を攻撃者もよく知っている
- 独自拡張機能・非標準機能がたくさんある(検証されきってない)
- 普及率が90%以上であり、攻撃方法の研究対象になりやすい
- リリース時期的に、設計思想(特にセキュリティに関しての基礎設計)自体が古い
と言う特徴があり、もちろんこの中の個々の部分は他のブラウザやOSも持っているけど、これだけの内容が組み合わさると防衛するのはかなり困難な気がします。MS が新OSか新ブラウザを新設計でリリースしてくれるまでは「潜在的な危険性」は、他のブラウザ・OSの組み合わせよりも(あくまで比較として)高いと言えるかもしれません。
また他のブラウザを使っていても Windows を使っている以上は IE コンポーネントがどこで関わってくるか分かりませんので、パッチあてや機能制限(ActiveXを使わないとか)は真面目にやるしかないですね。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1, すばらしい洞察)
こういう物は何もしなくても安全側に倒れるように設計するもの
なのに(実際NetscapeNavigatorはそうだった)ActiveX実装辺りから
わざわざ危険な方に倒れるようになっていてその度に付け焼刃で
修正してるのが元凶。
飛行機でいえば最初から高い所を飛ばずに無理やり低空飛行して
事故を起こすたびに運行方法を変えずに原因の障害物を1つ1つ
除けているような状態。
とてもじゃないけど100年かかっても安全になりそうも無い。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:2, すばらしい洞察)
でも乗客が「地上がよく見えない」と言い出して
結局低空飛行させてるケースも多いね
わがままなユーザーが最大のセキュリティホールだと思う。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
>他のブラウザ・OSの組み合わせよりも(あくまで比較として)高いと言えるかもしれません。
MSが新しいものを出したら、更に「潜在的な危険性」が
高まってしまうのでは・・・
# フレームのもの?
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
^^^^^^^^^^^^^^^^^^^^^^
C2セキュリティ取得だったはず(w
C2セキュリティ (スコア:1)
しかも「スタンドアロン時のみ」だったと記憶してるが、違ったっけ?
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
ブラウザのIE4の時も同様。「あれはOSの一部だ」と言い張っていましたな。
#未だにMSHTML.DLLが嫌いだがもはやこれがないとアプリが起動しないので仕方がない
#シェルなんかPROGMAN.EXE/WINFILE.EXEで十分なのに
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
非互換patchまでフォローが済んで、初めて「patchによる対応済」となると思います。
# 社内で「XP-SP2禁止」とかってお達し出てませんか?
---- 何ぃ!ザシャー
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:2, おもしろおかしい)
禁止どころかむしろ強く推奨されています。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1, おもしろおかしい)
めずらしい会社だ
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
まあ、Proxyで制御されてるのでそれ以前に怪しいサイトに移動できませんが。
#と言うか、これ(Firefox)妙に遅いな…。
#/.Jのページ表示させようとすると、
#一瞬文字が全てないページが表示されてから、
#遅れて全くない表示されてくる感じ。
#あと、勝手に行単位で文字列選択(色が反転するヤツ)するのに、
#実際は全然選択されてないとか微妙に使いづらい…。
Re:patch公開までIE6の利用を自粛したほうが無難 (スコア:1)
>#遅れて全くない表示されてくる感じ。
#遅れて全て表示されてくる感じ。
です。申し訳ない…。
ユーザースタイルシートで (スコア:0)
とやってもだめなんだろうか……
Re:ユーザースタイルシートで (スコア:1)
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:ユーザースタイルシートで (スコア:1, 参考になる)
[dti.ne.jp]
Proxomitronつながりでフィルタを (スコア:1, 参考になる)
([%00] とかざくざく入ってるのは UCS-2? 対策)
Name = "forbid long src/name attr"
Active = TRUE
Multi = TRUE
Limit = 300
Match = " (name|src|n[%00]a[%00]m[%00]e[%00]|s[%00]r[%00]c[%00])=("
"(\")\1[^\"]+{256,*}"
"|(\')\1[^\']+{256,*}"
"|[^%22%27][^ >]+{256,*}"
")$ALERT(too long src/name attr. at \u)"
Replace = " ><!-- \1"
まぁ、JavaScript とかで文字列を生成して、後で挿入されたらダメなんでしょうけど。
# 会社からなのでAC
そのつもりが (スコア:0)
Re:MSの陰謀に違いないのでAC (スコア:1)
隠れているバグは訓練された仕様です
たぶん、全てのバグを統括する女王バグを捕まえれば
戦局を一気に挽回できますよ!
#パワードスーツは乗るものではなく着るものだよね!
Re:これだけじゃない (スコア:1)
Re:これだけじゃない (スコア:1, 参考になる)
たまにバージョンアップしてて、ここ [microsoft.com]で最新版が落とせます。
なぜかWindows Updateでは配布してないんですよね。