月: 2008年1月

またQuickTime…

QuickTime関連の脆弱性多さは非常に目につきます。また見つかったようです。

http://www.milw0rm.com/exploits/4885

During my tests I have been able to fully overwrite the return address
anyway note that the visible effects of the vulnerability could change
during the usage of the debugger (in attaching mode it’s everything
ok).

と書いてあるので任意コード実行が可能です。

======
4) Fix
======

No fix

0dayらしいので不必要に「rtsp://」は開かない事…

Cross Site Printing

クロスサイトスクリプティングと同じ要領でネットワークプリンタに接続して印刷してしまう「Cross Site Printing」と呼ばれている手法が公開されています。

<img src=”myprinter:9100/Print_from_the_web”>

ポート9100でネットワークプリンタが印刷できる状態で待機しているので印刷できてしまいます。クロスサイトリクエストフォージェリと同じようなもの、と言った方が分かりやすいかも知れません。PDFにはFAXの送信方法も記載されています。
Cross Site Printingの仕組みは単純ですが根本的な対策は簡単ではありません。