★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 512.html
 ★阿修羅♪
次へ 前へ
IEの新セキュリティーホールとはてなダイアリーXSS対策【セキュリティーホールmemoに出てたメモ】
http://www.asyura2.com/0311/it04/msg/512.html
投稿者 クエスチョン 日時 2003 年 12 月 20 日 09:54:02:WmYnAkBebEg4M

IEの新セキュリティーホールとはてなダイアリーXSS対策【セキュリティーホールmemoに出てたメモ】
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031216_IE

(hoshikuzu|stardustの書斎, 2003.12.15)

 Internet Exploer は CSS の扱いにおいて、@import だけではなく @i とか @im とかだけでも @import と同様に扱ってしまうという話。また @impor\0t (\0 は NULL コードのつもり) のように NULL コードが途中に入っていても、@import と同様に扱ってしまうという。このため、各所の
web メールや掲示板、blog ものなどで、この状況を悪用した script 挿入が可能となる可能性がある。はてなダイアリーについては、いちはやく修正されたそうだ。 (手元で検証した結果、欠陥があるのは IE 6 のみのようだ。後述) 日本の各WEBMailサービスにも出来るだけの手はうちましたが、しっかりした返答があり、私のexploitを詳細に聞いてきたのは、たった2社だけでした。MicrosoftとYahooです。この2社には本当に感謝いたします。

 逆に言うと、Microsoft と Yahoo! くらいしか本気な組織はない、ということなのだろう。 XSS対策については、JPCERTは報告用の窓口がありません。従来、JPCERTに連絡しても、何も解決しませんでした。個人が広範なシステムにかかわる脆弱性を発見しても、公的には、どこからも、サポートを期待できないのです。 (中略) それよりも何よりも、私が訴えたいことは、脆弱性の発見を報告できる公的な窓口、コーディネートをしてくれて、適切に各ベンダ、企業、団体に連絡をしてくれる機関、を求めるものです。

 魂の叫びだよなあ……。しかし実際問題として JPCERT/CC はやる気はないようなので、どうすべきなんでしょうねえ。国内ベンダとの脆弱性情報の流通手順に関するワークショップ (JPCERT/CC) をやるときに、そういう方面についても含めるべきだと思うんですけどねえ。 2003.12.16 追記:

 手元で試してみました。 ○は欠陥なし、×は欠陥ありです。

 IE 6 もうだめぽ……Mozilla、お前もか……Safari もか……。 2003.12.17 追記:

 水無月ばけらさんから、NULL については Mozilla でもダメなのでは (テストページ) という指摘を受けた (ありがとうございます)。確かに Mozilla 1.5 でも発現する。 だめじゃん > Mozilla。表↑を修正。また手元のテストページにテスト項目を追加した。_o_

 備前さんから、Safari 1.1(v100.1) では NULL 直埋めが×になるとの情報を頂いた (ありがとうございます) ので表↑を更新。

 次へ  前へ

IT4掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。