スポンサーサイト

■ スポンサー広告 Posted by ひぐま (Higmmer) on -------- at --:--:--
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[警告] Sage 1.4にもスクリプトインジェクション脆弱性があります

■ ネット Posted by ひぐま (Higmmer) on 2006-10-11 at 20:25:22

◆共有テーマ: Firefox [コンピュータ]

Firefoxの拡張機能Sage 1.3.xのスクリプトインジェクション脆弱性についての情報が出て以来、当ひまグで公開しているSage++ (Higmmer's Edition)についても見つかった脆弱性については可能な限り対策を施してきましたが、やればやるほど奥が深いというか、どんなに対策しても100%安心安全にするのは不可能なのではないか? と最近思い始めています(できる限りのことはしているつもりですが)。

ところで、自分はSage 1.4系を使っているから関係ない、と思っている方はいませんか? 果たして本当に大丈夫なのでしょうか。まずは下のスクリーンショットを見て下さい。

上の画像は先ほど開発ページからダウンロードした10/11時点のSage 1.4 Nightly Build(*)で「ある仕掛け」を混入させたフィードを表示させた様子です。ローカルにある画像ファイルが表示されているだけでなく、hostsファイルの中身をJavascriptで取得することに見事に成功しています。しかも、このために行った操作は単にフィードを表示させただけです((((;゚Д゚)))ガクガクブルブル

(*) 公式版Sage 1.3.8や、まとめサイトにある"sage_1.4nightly_30-Sep-2006_fx2_mod3.xpi"でも同様(使用環境はWindowsXP + Firefox 1.5.0.7)。

ちなみにこの脆弱性は、Firefoxのオプション設定やNoScript拡張などでJavascriptを禁止にしても防ぐことはできませんでした。Sageのオプションで「HTMLタグを許可する」をオフにした場合は発生しませんが、その場合は何故か他のフィードも含めて全く表示されなくなってしまいました(読み込み中のまま動かない)。結局、まともに使うためには「コンテンツエリアにフィードを読み込む」をオフにするしかないようです。

この脆弱性については一応本家の方に報告(Bugzillaアカウントは持ってないのでメールで)してあるのですが、今のところ反応はありません。Sage 1.4ユーザーの方はくれぐれもご注意を。

尚、当然のことながらうちで配布しているSage++ (Higmmer's Edition)ではこの問題は対策済みです。


(2007/1/31追記)
上記脆弱性は公式版Sage 1.3.9で修正されています。
但し、Sage 1.4においては未だ修正されていない模様です(2007/1/31現在)
対策方法に関する情報はこちらのエントリにまとめてあります。

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

■ 管理人のみ閲覧できます
Posted by (ID:) []  on 2006-10-18 at 05:13:44 [編集]
このコメントは管理人のみ閲覧できます

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。