- PR -

【情報】今IEが…危険を通り越してしゃれになっておりません

投稿者投稿内容
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-24 12:36
ども。がるです。
引用:

ほむらさんの書き込み (2003-12-24 12:15) より:
テキストだけでもできます。。。やり方は書きませんが


ををなんと。
通常のテキストエディタではバイナリ入力出来ないだろうってことで、
0.1mmくらい敷居の高いホールだと思っていたのですが。

引用:

あとieは@importの解釈にも脆弱性がありますね。
JavaScriptは使わない方向のほうがいいでしょう。


ありますねぇ。IE6だと壮絶に怖い挙動するみたいです。

なんかIE6、今本気でしゃれにならないくらい危険ですね ;;
なか-chan@最愛のiMac
ぬし
会議室デビュー日: 2002/07/17
投稿数: 385
お住まい・勤務地: 和光市・世田谷区
投稿日時: 2003-12-24 14:22
ほむらさん

確かに、テキストだけでもできますね...うーむ。
URLのデコーダ?に問題があるんですかね?
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2003-12-24 14:41
ども、ほむらです。
URLのデコードした後の問題ですね。
僕はデコードそのものの問題ではないと考えています。
----------
なか-chan氏へ
引用:

確かに、テキストだけでもできますね...うーむ。
URLのデコーダ?に問題があるんですかね?


URL偽装に関する脆弱性については
記述そのものは正当な為に回避が難しいということになっています
ここでいう脆弱性とは例よって拡大解釈のせいです。

ieは@以前の本来ユーザー名として処理しなければならないところの解釈に
問題あるらしいですね。
さすがにURLの表示の脆弱性はieだけのようですがステータスバーなどは
他のブラウザでも再現するようです。。。
まぁブラウザではあまりこんな使い方しませんしねー。
たまに、FTPサイトをのぞく時に使用しますけど

#ie5よりもie6の方がこの脆弱性に関してはひどいらしいです。
#ie6の場合デコードした後のものがURLに表示されるとか。。。。
#ie5の環境持ってないので未確認。
Jitta
ぬし
会議室デビュー日: 2002/07/05
投稿数: 6267
お住まい・勤務地: 兵庫県・海手
投稿日時: 2003-12-24 15:28
どこかでこのホールを紹介していたページには、「クレジットカードの番号と名前、および暗証番号を詐取できる」とありましたよ。もっと怖い。。。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-24 15:55
ども。がるです。
引用:

Jittaさんの書き込み (2003-12-24 15:28) より:
どこかでこのホールを紹介していたページには、「クレジットカードの番号と名前、および暗証番号を詐取できる」とありましたよ。もっと怖い。。。


ですねぇ。ちょっとした人心誘導技術があればかなり簡単に。
プログラムだけなら一日かからずに作れそうだし。
後は、銀行系で「暗証番号取得」とかがココロトキメク感じでしょうか?

今回のホールとは違うやつらしいのですが、VISAカード系詐称のMailが
出回ってるとかいう話も聞きますし。
今回のホールの悪用も間近…なのかもしれません。

たまに思う。自分に倫理観がなければ物騒なものをずいぶん量産している
んだろうなぁ、と(苦笑
なか-chan@最愛のiMac
ぬし
会議室デビュー日: 2002/07/17
投稿数: 385
お住まい・勤務地: 和光市・世田谷区
投稿日時: 2003-12-24 16:57
マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る
http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html
だそうです。↑上のリンクは偽装されていません。(笑)
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-24 17:33
ども。がるです。
http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html

引用:

小野寺氏は「スプーフィング脆弱性については、特に危険な脆弱性と認識している。もし、年内にパッチが完成すれば、1月の月例パッチまで待って提供するようなものだとは考えていない。1日でも1時間でも早く提供したい」との認識を示した。


とあるので、期待しておきましょう。
一応危険だとの認識は(外面だけにしたところで)あるようなので。
少なくとも
http://internet.watch.impress.co.jp/cda/news/2003/12/11/1451.html

引用:

マイクロソフト取締役経営戦略担当の東貴彦氏は「一部で報道されたIEの脆弱性については認識している」とコメント。ただし、まだ攻撃コード(exploit code)が発見されていないことから緊急度は低く、「修正プログラムの開発を急がせて、不十分なものにならないよう、12月の“月例”修正プログラムではリリースしなかった。準備ができ次第公開したい」


とか寝ぼけた発言をされるよりは十分にましか、と。

…願わくばこの変わりっぷりが「一部でユーザが騒ぎまくってるから」
ではないことを祈ってみたかったり。

面倒だからやってませんが。12月に入ってからのSPAMで@でgrepしたら
なにか出てくるかなぁ、とかちょっと期待してみたり。
メールアドレスが鬼のように引っかかりそうなので
http[s]{0,1}://.*[@]
とかにしないと面倒が増えそうですが :-P
# 正規表現、そらで書くには自信がないので有識者の突っ込み求む ^^;

なにかやばげなSPAMとか見つけたらまた投稿します〜
もひろ
会議室デビュー日: 2002/08/05
投稿数: 3
お住まい・勤務地: 東京都
投稿日時: 2003-12-24 22:54
遅い話で恐縮ですが:
 Outlook云々の、個別のメーラが OK/NG という捉え方だけだと、やや危険?

 HTML メールを表示できるメーラがあって、メーラから起動されるブラウザが
 IE になっているだけで…… フィッシングサイト(詐称サイト)へのアクセスか
 どうかが ほとんどわからない、って状況でしょう。

 (※ <pre> タグで固定長にして、問題の偽装を href のリンク先に指定して
    素のテキスト内の URLリンクに見せかけた HTML メールを書いて、自分に
    送ってみました。
    …… HTML メールかどうか、パッと見わからなくて怖かったです(汗)。
    当然、ステータスバーには偽装 URL しか表示されないので……(滝汗)。
     〔実験メーラ: Netscape7.1付属, 実験用Outlook Express〕
  )

 ま、なんにしろ一番危険なのは、Outlook系 + IE な環境で HTMLメールを読む
 こと……って世の中的には大多数?

スキルアップ/キャリアアップ(JOB@IT)