何となく Blog by Jitta
Microsoft .NET 考

目次

Blog 利用状況
  • 投稿数 - 761
  • 記事 - 18
  • コメント - 36186
  • トラックバック - 222
ニュース
  • IE7以前では、表示がおかしい。div の解釈に問題があるようだ。
    IE8の場合は、「互換」表示を OFF にしてください。
  • 検索エンジンで来られた方へ:
    お望みの情報は見つかりましたか? よろしければ、コメント欄にどのような情報を探していたのか、ご記入ください。
It's ME!
  • はなおか じった
  • 世界遺産の近くに住んでます。
  • Microsoft MVP for Visual Developer ASP/ASP.NET 10, 2004 - 9, 2011
広告

記事カテゴリ

書庫

日記カテゴリ

ギャラリ

その他

わんくま同盟

同郷

 

IE がエントリー ポイントとなり、FireFox に対して引数をそのまま渡すから、FireFox のウィーク ポイントを刺激しておかしなことになる...という問題があるそうです。たとえば、この記事→Firefoxの脆弱性、IE経由で悪用される恐れ。あと、これも→IE関与の脆弱性、Firefox側が対処を表明

なんかなぁ???これ、IE が悪いの?

IE関与の脆弱性、Firefox側が対処を表明(ITmedia エンタープライズ)より:

Mozilla Foundation のセキュリティブログによると、この問題ではIEで悪質なWebページを閲覧し、細工を施したリンクをクリックすると、コマンドライン経由で別のWindowsプログラムが起動し、悪質ページのURLデータをそのプログラムに引き渡してしまう。この仕組みによってIEからFirefoxにURLデータが送られ、このデータに特定の細工が施してあれば、Firefoxでリモートからコードを実行することが可能になる。

で、先に書いたところには、こんなことが書いてある。

Firefoxの脆弱性、IE経由で悪用される恐れ(ITmedia エンタープライズ)より:

仏FrSIRTなどが7月10日に公開したアドバイザリーによると、FirefoxをWindowsにインストールする過程で導入されるURLハンドラの「FirefoxURL://」に、設計上のエラーが存在する。

これを読むと、FireFox が Windows に「FirefoxURL:// で始まる URI については FireFox を起動してね」とインストールする、と読めます。つまり、「渡してね」とお願いしているのは FireFox だと。IE が勝手に渡してくるわけではない。なのに、「IE の渡し方が悪い」っていうわけ?

Microsoft と Mozilla Foundation がインターフェイスを話し合って「こういう取り決めで行こう」としたのなら、確かに「そのまま渡す IE に問題がある(話し合って決めた仕様と違う)」と言えると思います。

でもこれ。「こういう設定をすると、対象のアプリケーションに引数を渡します」という仕様が公開されていて、その仕様を FireFox が利用しているわけですよね?そしてこの仕様は、拡張子の対応付けなど、他のことにも使われる仕様です、よね?

え~?!それなのに「適切にエスケープしない IE が悪い」って言うんですか?

インジェクション系のセキュリティに対して、私は「使われる側で特殊な文字がないか調査し、適切にエスケープして渡す」ことを対応方法としてあげています。このケースはその逆で、「こういう渡し方をする」ということが先に規定されているわけです。そうであるなら、渡される方が「危険な特殊文字はないかチェックする」のが、やるべきことではないでしょうか。

たとえば、ユーザに入力をしていただくことを考えます。このとき、たとえば IPv4 アドレスであれば「数字で、0~255の範囲で、3つのピリオドで4つの部分に区切られる」わけです。ブロードキャストはダメとかは、面倒なので省く。素の .NET Framework には、IP アドレス入力用のコントロールはないので、TextBox を使用することにします。このとき、制限の範囲内の入力しかないことを、想定するでしょうか?そんなことはないでしょう。文字列や、まったく入力されない場合など、様々な入力があることを予想し、入力されたものが結局制限内に納まるようにコーディングする(エラー チェックをして弾く)でしょう。

この脆弱性における「適切にエスケープしない IE が悪い」という言い分は、「適切に入力しないユーザが悪い」と言っているように感じました。

投稿日時 : 2007年7月26日 22:31
コメント
  • # re: なんか、おもしろい→IE 経由で FireFox の脆弱性
    ちゃっぴ
    Posted @ 2007/07/27 0:00
    こんなのも。

    「Firefoxにも問題あった」、IE関与の脆弱性でMozillaが認める
    http://blogs.wankuma.com/jitta/archive/2007/07/26/87222.aspx

    Firefox 2.0.0.5にパスワードが盗まれる脆弱性
    http://opentechpress.jp/security/article.pl?sid=07/07/25/021252
  • # re: なんか、おもしろい→IE 経由で FireFox の脆弱性
    Jitta
    Posted @ 2007/07/27 7:27
    ちゃっぴさん、貼り付けるの間違ってますよ(笑)


    それ、張ろうと思ってどこいったかわからなくなったところなので、是非!
  • # re: なんか、おもしろい→IE 経由で FireFox の脆弱性
    ちゃっぴ
    Posted @ 2007/07/27 12:40
    あ、ほんとだww。

    「Firefoxにも問題あった」、IE関与の脆弱性でMozillaが認める
    http://www.itmedia.co.jp/news/articles/0707/25/news010.html

    ついでに。

    FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開
    http://www.itmedia.co.jp/news/articles/0707/27/news019.html
  • # re: なんか、おもしろい→IE 経由で FireFox の脆弱性
    通りすがり
    Posted @ 2007/07/27 12:45
    多分に「それによると、FirefoxではURLハンドラのインストールに関連してコマンドラインへのアクセス防止措置を取っているとみられるが、IEがこのURLハンドラを呼び出して、Firefoxがインストールしたハンドラ経由でコマンドラインにアクセスできる手段を提供してしまう」と、Firefox 内部ではきちんと処理している、変な呼び出しをする側が悪いという主張だったのでしょう(この前提は Firefox にも問題あった、で崩れたわけですが)。ただ、本当にセキュリティを意識しているというのなら「入力は基本的に信じない。絶対調べる」というのが大前提だと思います。これを「IE の責任」と言ってしまうのは、セキュリティ意識が低い証拠なんじゃないかと疑ってしまうのです。(一番まずいのは「IE責任の」と読める記事を書いてしまう、IT記者さん達なのでしょうね…。^^;;)
  • # re: なんか、おもしろい→IE 経由で FireFox の脆弱性
    Jitta
    Posted @ 2007/07/28 21:09
    なんか、忙しいときにくすぐったいポストをしてしまった。。。

    「「Firefoxにも問題あった」、IE関与の脆弱性でMozillaが認める」
    ごめんなさ~い、これ、思ってたのと違いました。
    「-wxxxx を送ると firefox にとってまずいということは、windows が知ることはできない」のようなことが書いてある記事があったんだけど。C NET かなぁ?「IE と FireFox、どちらも悪い」みたいなタイトルだったんだけど。。。

    > セキュリティ意識が低いんじゃないかと疑ってしまうのです。
    (意図的に一部削除)
    アドレスバーを完全に消してしまうところでもチラッと書きましたが、FireFox 開発陣のセキュリティ意識については、私も疑問を感じます。些細なことなんだけど、繊細さかなぁ?

    > 一番まずいのは(snip)IT記者さん達なのでしょうね…。
    さんせ~いっ!!
    なんか、柔らか頭塾...じゃなかった、柔らか堤防...うぉ!なんちゅう名前じゃ!!英和辞典引いたらこういう訳も出てきた。これは、やっぱり、こわいっす(^-^;
    あ、ずれた。
    柔らかい土手は、「オレについてこいっ!」と、後ろを振り返らずに進んでしまうリーダーみたい。アフターケアがなってない、と思います。
  • # 対処したようだ→IE 経由 FireFox の脆弱性
    何となく Blog by Jitta
    Posted @ 2007/07/31 22:04
    対処したようだ→IE 経由 FireFox の脆弱性
  • # マイクロソフトが折れたようだ(URI の不正処理問題)
    何となく Blog by Jitta
    Posted @ 2007/10/30 21:33
    マイクロソフトが折れたようだ(URI の不正処理問題)
タイトル
名前
Url
コメント