★阿修羅♪ 現在地 HOME > IT7 > 354.html
 ★阿修羅♪
次へ 前へ
FirefoxやMozillaなどにアドレス・バーや証明書の表示を偽装される脆弱性【Opera等も】
http://www.asyura2.com/0411/it07/msg/354.html
投稿者 元SEのおじさん 日時 2005 年 2 月 09 日 20:09:39: W0dUExWAHOi7M
 

珍しいことに、IEのみ影響を受けない。(Firefox/Mozilla/Camino)の場合設定変更で対応可能とありやってみると、会社では駄目で自宅では国際化ドメイン名IDN(International Domain Name)を無効に出来た。

但し、ITPro記事で紹介されている「アドレス・バーに「about:config」を打ち込み「network.enableIDN」の値変更(True→False)では駄目だった。セキュリティーホールmemo記事中の「compreg.dat」ファイル中のパラメーター変更のやり方でIDNを無効化できました。しかし、自宅のみで、会社では駄目でした。たぶんProxyサーバーのキャッシュがらみだと思います。会社でもし必要な場合はSecuniaサイトに紹介されている基本的やり方を励行することにしました。

Mozillaについてはやっていません。セキュリティーホールmemoの記事が正しければ、アドレス・バーに「about:config」を打ち込み「network.enableIDN」の値変更で出来るのかもしれません。

Operaではパッチも出ていないし対応方法が今の所ないようです。


Secuniaのデモページでの実行結果。
http://secunia.com/multiple_browsers_idn_spoofing_test/

IEはブロックし下記表示。

会社では
****************************************
Bad Gateway
The following error occurred:
[code=DNS_HOST_NOT_FOUND] The host name was not found during the DNS lookup. Contact your system administrator if the problem is not found by retrying the URL.

--------------------------------------------------------------------------------
Please contact the administrator.
****************************************

自宅では「Not Found」だった。


(Firefox/Mozilla/Camino)は設定変更でできるとある。

文中該当箇所

>(Firefox/Mozilla/Camino)の場合には,IDN対応機能を無効にすれば偽装
>されなくなるという。具体的には,「network.enableIDN」を「false」にする
>(デフォルトは「true」)。アドレス・バーに「about:config」と打ち込めば,
>各種設定項目が表示される。そのなかの「network.enableIDN」をダブル・ク
>リックすれば,trueからfalseに変更される。

実際やってみたものの、脆弱性は直らず。
但し、この隠しオプション設定方法は面白いので記憶しておくことにする。


「セキュリティーホールmemo」に下記の記事あり、
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/02.html#20050209_tuiki
国際化ドメイン名対応ブラウザにURLが“偽装”される問題、IEは影響なし

文中、「Mozilla Firefox の場合は、compreg.dat ファイルを編集することで無効にできる。」とある。

具体的には
C:\Documents and Settings\USERNAME\Application Data\Mozilla\Firefox\Profiles\default.###\ .
にある、「compreg.dat」ファイル中の下記部分のパラメーターを「1」→「0」にすればFix出来るとあるが、会社では駄目だった。たぶんProxyサーバーがキャッシュがらみで騙されてしまうのか。
自宅では「www.paypаl.com/が見つかりません。ドメイン名を再確認してください」と出てIDN対応機能を無効に出来た。「network.enableIDN」がデフォルトの「true」でもIDN対応機能を無効に出来たのを確認できた。

 ↓これです。

@mozilla.org/network/idn-service;1,{62b778a6-bce3-456b-8c31-2865fbb68c91}
You are going to change the 1 to a 0 so the line reads:
@mozilla.org/network/idn-service;0,{62b778a6-bce3-456b-8c31-2865fbb68c91}

会社では、そもそもあまりやる場面はないかもしれませんが、やる場合には

[SA14163] Mozilla / Firefox / Camino
http://secunia.com/advisories/14163/
のadvisoryを参照。

Solution:
Don't follow links from untrusted sources.
Manually type the URL in the address bar.

を励行することにしました。

***一応記事紹介しますが、下記の記事中のやり方ではIDN対応機能を無効に出来ません。このITProの記事は間違っています。実際やってみないで記事にしたとしたらちょっと問題ですね。

[2005/02/08] バックナンバー

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050208/155885/

 デンマークSecuniaなどは現地時間2月8日,MozillaやFirefox,Operaといった複数のブラウザに見つかったセキュリティ・ホールを公表した。悪用すると,アドレス・バー/ステータス・バーやデジタル証明書などに表示されるURLを偽装できる。このほか,CaminoやSafari, OmniWeb,Konqueror,Netscapeにも同様のセキュリティ・ホールが確認されている。Internet Explorerは影響を受けない。対策は,信頼できないリンクをクリックしないことなど。

 今回のセキュリティ・ホールは,国際化ドメイン名IDN(International Domain Name)の実装が原因(関連記事)。URL(リンク)に細工を施すと,悪意のあるサイトを実在する正規のサイトに見せかけられる。つまり,アドレス・バーなどに正規のURLが表示されているように見えても,実際には偽サイトにアクセスしている可能性がある。

 右上写真はSecuniaが公開しているデモの実行結果(拡大表示)。Firefoxのアドレス・バーには「http://www.paypаl.com/」と表示されているが,実際にはSecuniaのサーバー上のページにアクセスしている。

 右写真は,今回のセキュリティ・ホールを報告したEric Johanson氏によるデモ・ページの実行結果(拡大表示)。デジタル証明書の表示が「www.pаypal.com」となっている。

 いずれのブラウザについても,パッチや修正版は公開されていない。Mozilla製品(Firefox/Mozilla/Camino)の場合には,IDN対応機能を無効にすれば偽装されなくなるという。具体的には,「network.enableIDN」を「false」にする(デフォルトは「true」)。アドレス・バーに「about:config」と打ち込めば,各種設定項目が表示される。そのなかの「network.enableIDN」をダブル・クリックすれば,trueからfalseに変更される。

 また,今回のセキュリティ・ホールを悪用されるのは,リンクをクリックした場合に限られる。このため,信頼できないリンクをクリックしないことが重要である。これは,セキュリティのセオリーである。

◎参考資料
◆Mozilla / Firefox / Camino IDN Spoofing Security Issue
◆Opera IDN Spoofing Security Issue
◆Konqueror IDN Spoofing Security Issue
◆Safari IDN Spoofing Security Issue
◆OmniWeb IDN Spoofing Security Issue
◆Netscape IDN Spoofing Security Issue
◆Multiple Browsers IDN (International Domain Name) URL Spoofing
◆Multiple Browsers IDN Spoofing Test
◆The state of homograph attacks

(勝村 幸博=IT Pro)

***この「セキュリティーホールmemo」記事中のやり方ならIDN対応機能を無効に出来ます。

「セキュリティーホールmemo」記事。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/02.html#20050209_tuiki
国際化ドメイン名対応ブラウザにURLが“偽装”される問題、IEは影響なし

 secunia のデモサイトに接続した際のアドレスバーの見え方:

* 英語版 Windows 2000 SP4 上の英語版 Mozilla:
* 日本語版 Windows XP SP2 上の日本語版 Mozilla:

 日本語版 Windows 上の日本語版 Mozilla だと割と視認しやすそうだけど、英語版 Windows 上の英語版 Mozilla だと、これはわからないですね。

 「回避方法」としては、国際化ドメイン名への対応を無効にする。

*

Mozilla の場合は、about:config にアクセスし、 network.enableIDN を false にすることで無効にできる。
*

Mozilla Firefox の場合は、compreg.dat ファイルを編集することで無効にできる。Permanent Fix for the Shmoo Group exploit (Tech.Life.Blogged) を参照。
*

IE の場合は標準では国際化ドメイン名に対応していないのだが、 日本語ドメイン名プラグイン などによって国際化ドメイン名に対応している場合は、それをアンインストールする。
*

Opera や Safari については、今のところ無効にする方法がない。


Tech.Life.Blogged

http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
Monday, February 07, 2005
Permanent Fix for the Shmoo Group exploit

It's been mentioned in the news and over at Boing Boing that there is an exploit common to non-Internet Explore browsers. Fixes have been posted for Firefox but they don't work. Below, I describe how to get your browser patched.

Exploit demo:
Go to http://www.shmoo.com/idn/
When you click on the link to paypal on that page it will give you a bogus result.
And if you try the link to the ssl paypal site it will even appear as if Firefox is in a secure site! You get the yellow address bar and the lock and everything. Pure evil.
Don't worry, this is only a demo.

About the exploit:
Basically this exploit takes advantage of a poor implemention of the International Domain Name specification. It doesn't work in IE because IE doesn't support that specification yet.
You can read more about Shmoo and what they know about homograph attacks here. If you look at that site and the Boing Boing site I linked to above, you'll find that they both contain information about how to patch Firefox. The trouble is, while the fix appears to work, once you close your browser and open it again, the patch does not take effect. Even if you go back and look at about:config you'll notice network.enableIDN is still marked 'False'. But if you try the exploit again you'll see it still works.

A little hack
Before we start, I should emphasize that while this patch worked for me on 2 Windows XP machines I can't guarantee it will work for you. The patch involves simply changing a text file so make sure you back it up before hand.
Here we go...
# Shutdown Firefox

# Go to your Firefox profile directory. In Windows XP, it is located in C:\Documents and Settings\USERNAME\Application Data\Mozilla\Firefox\Profiles\default.###\ . This directory is hidden. To learn how to unhide files and directories in Windows XP, read this. To find it in another OS, have a look at http://www.mozilla.org/support/firefox/edit#profile

# Find the compreg.dat file in your profile directory.

# Make a copy of compreg.dat and store it somewhere else in case you make a mistake in the following. Just copy it to another location that you can easily find should you need to copy it back again. Also, make sure you copy and don't move.

# Open up compreg.dat. In Windows XP I used WordPad.

# Scroll down to the [CONTRACTIDS] section and look for a line similar to this one:
@mozilla.org/network/idn-service;1,{62b778a6-bce3-456b-8c31-2865fbb68c91}
You are going to change the 1 to a 0 so the line reads:
@mozilla.org/network/idn-service;0,{62b778a6-bce3-456b-8c31-2865fbb68c91}


# When you are done, go have a look at the exploit site again and you should see that Firefox now returns a 'page not found' error as it should.

UPDATE 2/8/05 8:02 AM PST
In the comments reader lionfire mentions that this fix isn't quite permanent because compreg.dat gets updated when you install an extension. I have just confirmed this. I'm looking further into how to make this permanent. Stay tuned!

http://secunia.com/advisories/14163/
Mozilla / Firefox / Camino IDN Spoofing Security Issue

Secunia Advisory: SA14163 Print Advisory
Release Date: 2005-02-07

Critical:
Moderately critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Mozilla 1.7.x
Mozilla Firefox 0.x
Mozilla Firefox 1.x

Select a product and view a complete list of all Patched/Unpatched Secunia advisories affecting it.

Description:
Eric Johanson has reported a security issue in Mozilla / Firefox / Camino, which can be exploited by a malicious web site to spoof the URL displayed in the address bar, SSL certificate, and status bar.

The problem is caused due to an unintended result of the IDN (International Domain Name) implementation, which allows using international characters in domain names.

This can be exploited by registering domain names with certain international characters that resembles other commonly used characters, thereby causing the user to believe they are on a trusted site.

Secunia has constructed a test, which can be used to check if your browser is affected by this issue:
http://secunia.com/multiple_browsers_idn_spoofing_test/

The issue has been confirmed in Mozilla 1.7.5 and Firefox 1.0. Other versions may also be affected.

Solution:
Don't follow links from untrusted sources.

Manually type the URL in the address bar.

Provided and/or discovered by:
Originally described by:
Evgeniy Gabrilovich and Alex Gontmakher

Reported by:
Eric Johanson

Changelog:
2005-02-07: Updated "Solution" section.

Original Advisory:
http://www.shmoo.com/idn/homograph.txt

Other References:
The Homograph Attack:
http://www.cs.technion.ac.il/~gabr/papers/homograph.html

ICANN paper on IDN Permissible Code Point Problems:
http://www.icann.org/committees/idn/idn-codepoint-paper.htm


Please note: The information, which this Secunia Advisory is based upon, comes from third party unless stated otherwise.

Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.


Send Feedback to Secunia:

If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.

Ideas, suggestions, and other feedback is most welcome.


Found: 24 Related Secunia Security Advisories, displaying 10

- Mozilla / Firefox Three Vulnerabilities
- Firefox / Mozilla / Thunderbird Multiple Vulnerabilities
- Mozilla / Mozilla Firefox Dialog Overlapping Weakness
- Mozilla / Thunderbird "MSG_UnEscapeSearchUrl()" Buffer Overflow
- Mozilla / Mozilla Firefox Download Dialog Source Spoofing
- Mozilla Firefox Multiple Vulnerabilities
- Mozilla / Mozilla Firefox Window Injection Vulnerability
- Mozilla / Thunderbird Valid Email Address Enumeration Weakness
- Mozilla / Firefox / Thunderbird Downloaded File Content Disclosure
- Mozilla / Mozilla Firefox / Camino Tabbed Browsing Vulnerabilities

Show all related advisories


Receive all Secunia Security Advisories Free:

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。