IEのFTPフォルダビューにXSS脆弱性で任意コマンド起動の危険 17
ストーリー by wakatono
こんなところにも… 部門より
こんなところにも… 部門より
数人から同様のタレコミをもらったが、その中からjbeef曰く、"6月7日付でBUGTRAQに投稿された記事によると、 IEの詳細設定「FTPサイト用のフォルダビューを使用する」と、フォルダオプションの「フォルダでWebコンテンツを使う」がオンに設定されている場合、「ftp://"><script>...</script>/」などのURLにアクセスしたときに現れる画面で、クロスサイトスクリプティング脆弱性が発現するため、与えたスクリプトが動いてしまうとのこと。このとき「マイコンピュータゾーン」上で動作してしまうところに危険性がある。 BUGTRAQにフォローされた記事では、マイコンピュータゾーン上に任意のHTMLが挿入されることがもたらす脅威には、OBJECTタグによる任意コマンドの起動があると指摘されており、その実証デモが提供されている。"
"発見者のEiji James Yoshida氏によると、Microsoftには2001年12月22日に報告したが半年経っても調査中との返事しかもらえなかったそうだ。また、同氏は、この脆弱性の日本語によるadvisoryの中で、「日本人で脆弱性を発見する人すべてが英語を話せるわけでは無いので、マイクロソフトの日本法人に日本語での報告を受け付ける体制を早急に整えて頂きたい」と主張している。CERT/CCには、こうした場合に、発見者とベンダーの間のコーディネーションをしてくれる機能があるが、類似の名称を名乗るJPCERT/CCにはそのような機能はない。また、IPAセキュリティセンターもそのような役目を担っていない。"
バグ取り月間 (スコア:2)
結局どうなったんだろう。
宣言しただけで終わっちゃった?
なにも成果が発表されてない気がしますが…。
僕が知らんだけだろうか。
こういうのは発表する類いのものではないのかな。
[udon]
Re:バグ取り月間 (スコア:1)
「成果」というのをまとめて発表しているかどうかは知りませんが、プロダクト セキュリティ警告サービス [microsoft.com]によると、2月は MS02-002 から MS02-012 の11個の security bulletins が出たわけで、それなりに成果はあったのだろうと思います。英語情報 [microsoft.com]のほうがすべての bulletin の情報を一度に見られるので見やすいかも。
もちろん、実際には security bulletins の個数だけでは何もわかりませんが、あくまでもわかりやすい数字として。
鵜呑みにしてみる?
Re:バグ取り月間 (スコア:0)
確かに起動しますね (スコア:1, 興味深い)
しているとデモが起動しますね。(もちろん「従来のWindowsフォルダを
使う」にしていると起動しません)
これはシンプルかつエグいXSSですねぇ…
PostPetの穴 [slashdot.jp]と組み合わせると、
初心者向けのトラップが簡単に作れてしまいそうですな…。
Re:確かに起動しますね (スコア:0)
かなり前から某所で報告してたのに。1年以上経過してるし。
持ちネタが減ってきた・・・
電話だと (スコア:1, 余計なもの)
Re:電話だと (スコア:0)
ゆってるそばから。 (スコア:1, すばらしい洞察)
ゆってる場合じゃないよねぇ。
誰か JPCERT/CC にお金を寄付してあげてください (スコア:1, 興味深い)
Re:誰か JPCERT/CC にお金を寄付してあげてください (スコア:0)
継続してできないのであれば、それは組織として無理があるということ。
寄付してあげてくださいなんて言ってもしょうがない。
ヒトフタマルマルジ大本営発表 (スコア:0)
自分の所のブラウザ治すより先にセキュリティーが確保される罠
MSの考えじゃ絶対に脆弱から抜け出す事は根本的に無理だと思われ
神様私達にIEを捨てる勇気を下さい!!
VisualStudio .netを買った (スコア:0)
なんで?どうして?;_;
前バージョンでもIE4を強制されたけど、コンポーネントだけ入れれば済む話なのでは?
WindowsXPでIEを見えなくするパッチとか出すらしいですが、IEを入れなくてもVisualStudio.netをインストールできるパッチきぼん。
まー、Windowsで製品を開発するからには、Microsoftに魂を売れということなんでしょうけどね。
まだインストールプロセスを進めていないからわかんないけど、あの悪名高いpassportに登録とかさせられるんですかね。怖いヨー。
こっちはスタンドアロンなソフトを開発したいだけなのに……
Re:VisualStudio .netを買った (スコア:1)
どうせ IE なんて再利用可能コンポーネントの寄せ集めだろうから、インストールされるファイルの数はあまり変わらなさそうだし、利用許諾契約に同意しなければならないことも、 IE で使うコンポーネントに弱点があったらやられることも同じなわけで、「IE のコンポーネントだけをインストールする」という選択肢にどの程度意味があるのかわかりません。
全体としての「IE という製品」を使いたくないなら、関連付けを別のブラウザに変更して、 IE を起動しなければいいのではないでしょうか。少なくとも、 IE 6 を入れるために Passport に登録しなければならないということはありません。そういう意味ではないですよね?
鵜呑みにしてみる?
そゆときは (スコア:0)
full discloser (スコア:0)
って、/.-Jは大丈夫?
そもそもexploitを含めた情報をこういう形で制限するのってfull discloserの観点からしておかしいように思われるんですが。
一般の人にも広く情報が行き渡るように、または行き渡りやすいようにすべきかと。
むしろこっちの方がヤバメかな?
full disclosureですね。 (スコア:0)
○ full disclosure
× full discloser
ですね、ハズカシー。
Re:full discloser (スコア:0)
と言ってみる試験。