[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[SNS Spiffy Reviews No.14] Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"
- To: bugtraq-jp@xxxxxxxxxxxxxxxxx
- Subject: [SNS Spiffy Reviews No.14] Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"
- From: snsadv@xxxxxxxxx (snsadv)
- Date: Sat, 31 Jul 2004 12:34:52 +0900
///////////////////////////////////////////////////////////////////////
SNS Spiffy Reviews No.14
Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"
Problem first published on: Mon, 07 Jun 2004
Document created on: Sat, 31 Jul 2004
///////////////////////////////////////////////////////////////////////
問題の概要:
===========
Microsoft Internet Explorer には、セキュリティゾーンによる制限を迂回
し、『マイコンピュータ』ゾーンの設定で任意のスクリプトを実行すること
が可能となる問題があります。
この問題には、これまで公開されてきた以外にも悪用されてしまう恐れのある
利用法が存在することを確認しています。
問題の詳細:
===========
Microsoft Internet Explorer には、セキュリティゾーンによる制限を迂回
し、『マイコンピュータ』ゾーンの設定で任意のスクリプトを実行すること
が可能となる問題があります。
HTTP 応答中の Location ヘッダに ms-its: プロトコルハンドラとローカルの
ファイルへのパスを指定することで、Internet Explorer にローカルの .chm
ファイル内のリソースを開かせることができます。さらに showModalDialog()
を利用することで、クロスゾーンスクリプティングを発現させ、『マイコン
ピュータ』ゾーンの設定のもとで任意の HTML をパースさせることが可能と
なります。事実、この手法を利用することで、Download.Ject[1] によるトロ
イの木馬プログラムへの感染が発生しました。
弊社コンピュータセキュリティ研究所(CSL)は、これとは異なる手法を使用する
ことでも、同様の結果を生じさせることが可能であることを発見しました。
HTTP 応答中の Location ヘッダに res: プロトコルハンドラを使用し、ロー
カルのリソースファイルを開かせます。そして、リソースファイル中の HTML
要素ないし属性を操作することで『マイコンピュータ』ゾーンの設定のもとで
任意の HTML をパースさせることが可能となります。このため、悪意ある Web
サイトの管理者はこの問題を利用することのできる悪意あるコンテンツを用意
し、ユーザをこのコンテンツに誘導させることで、コンピュータ上に存在する
実行ファイルの起動などの操作が可能となります。
例:
---
<IFRAME ID=oIframe SRC="redir.asp" WIDTH=10 HEIGHT=10>
<SCRIPT>
setTimeout(
function () {
oIframe.xxxxxx.xxxxxxxx="example.txt";
},
1000
);
</SCRIPT>
---
この手法をマイクロソフト株式会社に報告したところ、結論として欠陥のある
原因は前述の手法と同じであり、次期 Internet Explorer の修正プログラム
で解消する予定であるとの旨の回答を得ました。そして同時に、より多くの
ユーザに対策を呼びかけることが必要であるという意見の一致を得ました。
より多くのユーザがこの問題を解消するパッチを適用されることを切に願います。
[1] http://www.microsoft.com/japan/security/incident/download_ject.mspx
問題を確認したバージョン:
=========================
Internet Explorer 6 Service Pack 1 日本語版
報告の経緯:
===========
この問題は Microsoft Co., Ltd. に 2004 年 6 月 11 日に報告し、議論を
続けてきました。
対策:
=====
日本語版修正プログラムは下記のサイトからダウンロードできます。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-025.asp
発見者:
=======
新井 悠 y.arai@xxxxxxxxx
関連情報:
=========
マイクロソフト セキュリティ情報 MS04-025:
http://www.microsoft.com/japan/technet/security/bulletin/ms04-025.asp
免責:
=====
この報告書で示される情報は予告なしに改定されることがあり、かつ、ある
がままの形で提供されます。この情報を適用し生起される結果のリスクは利
用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。
再配布について:
===============
この報告書の再配布は、下記条件を満たす限り自由です。
・発行元 URL として、以下の URL を明記する。
<http://www.lac.co.jp/security/csl/intelligence/SNSspiffy/14.html>
------------------------------------------------------------------
Secure Net Service(SNS) Spiffy Reviews <snsadv@xxxxxxxxx>
Computer Security Laboratory, LAC http://www.lac.co.jp/security/