[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0250] Re: IE5(MacClassic) でCookie に関する問題



石川(vm_converter)です。

はじめまして、Junnamaさん。出遅れまして済みません。
# ついさっきTea Roomを見ました。

Junnama Noda <junnama.noda@xxxxxxxxxxx> wrote:

> はじめまして。
> Junnama Nodaです。
> 
> 何人かの方からこのMLを紹介いただきました。

ご存知無い方の為に一応経緯を説明しておきますと、この件は、

○Tea Room for Conference in academic office(の No.1171)
http://www.office.ac/tearoom/noframe.cgi#No.1171

で、話が出ていて、Junnamaさんがこちらに話題を振って下さった
ということです。
 
> さて、早速ですが、MSIE5(Mac Classic)で問題を見つけました。
> 
> あらましは以下に書いてます。
> <http://member.nifty.ne.jp/junnama/memo/trash06.html>
> 
> 問題は、ローカルのHTMLファイル内に埋め込まれたJavaScriptからオンライン上の
> WebサイトのCookieへアクセスできる点です。オンライン上にあるファイルでは再現
> しません(エラーになります)。
> 
> この点だけでは危険度は少ないかもしれませんが、別の問題(ファイルの自動ダウン
> ロード)と組み合わせると危険度は増すのではないでしょうか。

確かに危険度は増すと思います。ただ後述しますが、確実に利用できる環境を
整えるのが少々難しいとは思います。

ローカルのHTMLファイルから何かしら実行するのであれば、Cookie以外にも色々
手出しできることはあると思うのですが、別ウィンドウで開いてるサイトの
Cookieを転送されてしまうのは、XSS脆弱性と同じように気付きにくいという
部分がより危険かと思います。

> Toshiyuki Moriさんのページ
> <http://homepage1.nifty.com/glass/tom_neko/web/web_security_auto.html>
> 
> 攻撃手法の概略です。
> 
> 1.オンライン上に置いたあるファイル(File1)に組込んだJavaScriptにより...
> 2.新しいウィンドウを自動で開き、locationを危険なファイル(File2)にする
> ※ファイル名を「MACIE_XSS_TEST.me」などとしておくと、ヘルパーの設定にもよる
> が、ダウンロードが始まる。
> 3.JavaScriptによるタイマー(setTimeout)で、何秒か後で
> file:///Macintosh%20HD/Desktop%20Folder/MACIE_XSS_TEST.me
> へアクセスする(File1のlocationを変える)
> 
> これで、特定条件下では(ディスク名がMacintosh HDでダウンロード先がDesktop
> Folderである場合)ローカルにある「MACIE_XSS_TEST.me」が実行されます(実験済
> み)

ここまでの、ダウンロードさせたローカルファイルから何かさせる、という部分は
上記森さんのページの『■バグ1』の
------------------------------------------------------------
IE 5.1.4〜5.1.6 (Classic版) ではWeb上のHTMLファイルから実行させようとして
もダイアログが出るようになりましたが、ローカルのHTMLファイルからはダイアロ
グが出ず実行されてしまいます。つまり、HTMLファイルと実行ファイルをいっしょ
にダウンロードしてしまうと危険です。
------------------------------------------------------------
に似ていると感じましたが如何でしょうか?>森さん、その他の方々

> IE 5では、ローカルファイルのJavaScriptから、別ウィンドウのCookieにアクセスで
> きるため、Cookieを取得して例えば別のサーバーに転送することが可能です。
> 
> ですから、その後
> 
> 4.ローカルに落とされた「MACIE_XSS_TEST.me」から新しいウィンドウを開いて攻撃
>  対象ページにアクセス
> 5.MACIE_XSS_TEST.meで、このウィンドウ(サイト)のCookieを取得、別のサイトへ転
>  送する
> 
> ということができます。


> 対処法は、ダウンロードフォルダの場所を変えておく、自動解凍・ディスクイメージ
> の自動マウント等、これまでに指摘されている設定部分を変更すること、あるいは
> JavaScriptをOffにすること、です。

それから、
○SecurIT-Advisory 2001-001:
クロスサイトスクリプティング脆弱性蔓延の現状と解決策
の『IV-1. 安全なブラウザの使い方』
http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/user.html#browser
にも書かれていますが、

・サービスにログイン中は、決して他のサイトを見に行かない
・サービスを利用し終えたら、一旦ブラウザを終了させる

というの基本的な心構えとして重要だと思います。

# Mac版のIEで「ローカル イントラネットゾーン」の設定を「高(最も安全)」か
# カスタムで「スクリプトの実行」をオフ、という手も有るかもしれませんが、
# あまりお勧めできませんね。

> 具体的なコードはここにはさすがに書きませんが...この問題の危険度は如何に?

正直に申しまして、これを悪用できる条件を整えるのが難しそうです。
「MACIE_XSS_TEST.me」などを用意したページにMac OS+IEでアクセスさせ、
ダウンロード場所とヘルパー設定がデフォルトであり、かつ犠牲者はCookieで
セッション管理されているサイトにアクセス中でないといけない...

ただ、Macユーザ向けのショッピングサイトを用意できれば、利用できる確率は
高くなりますね。

Cookieを転送されること自体とその影響の危険性はとても高いと思います。

> 一応この症状は Microsoftへはポストしています。

適切な処置だと思います。
いちMac版IEユーザとして、素早い対処に感謝したいと思います。


P.S.
なお、別にJunnamaさんに個人宛てメールを送る予定ですが、私の手元でも
・Mac OS 9.2.2+IE 5.1.6
・Mac OS X 10.2.2+IE 5.2.2
でも検証したいと思っています。


-- 
石川 泰久/vm_converter
vm_converter@xxxxxxx

--[PR]------------------------------------------------------------------
【 FreeMLからのお知らせ 】
  ・自分でもMLを運営してみたい! => 始めての方でも安心して作れます!
  ・参加したいMLが見つからない? => それなら作ってみよう!
 ▼ ここから簡単に作れるよ♪ ▼
   http://ad.freeml.com/cgi-bin/ad.cgi?id=b3Qw9
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp