ひぐまのひまグ

Firefoxの拡張機能Sage 1.3.xのスクリプトインジェクション脆弱性についての情報が出て以来、当ひまグで公開しているSage++ (Higmmer's Edition)についても見つかった脆弱性については可能な限り対策を施してきましたが、やればやるほど奥が深いというか、どんなに対策しても100%安心安全にするのは不可能なのではないか？ と最近思い始めています(できる限りのことはしているつもりですが)。

ところで、自分はSage 1.4系を使っているから関係ない、と思っている方はいませんか？ 果たして本当に大丈夫なのでしょうか。まずは下のスクリーンショットを見て下さい。

　クリックで拡大

上の画像は先ほど開発ページからダウンロードした10/11時点のSage 1.4 Nightly Build(*)で「ある仕掛け」を混入させたフィードを表示させた様子です。ローカルにある画像ファイルが表示されているだけでなく、hostsファイルの中身をJavascriptで取得することに見事に成功しています。しかも、このために行った操作は単にフィードを表示させただけです((((；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

ちなみにこの脆弱性は、Firefoxのオプション設定やNoScript拡張などでJavascriptを禁止にしても防ぐことはできませんでした。Sageのオプションで「HTMLタグを許可する」をオフにした場合は発生しませんが、その場合は何故か他のフィードも含めて全く表示されなくなってしまいました(読み込み中のまま動かない)。結局、まともに使うためには「コンテンツエリアにフィードを読み込む」をオフにするしかないようです。

この脆弱性については一応本家の方に報告(Bugzillaアカウントは持ってないのでメールで)してあるのですが、今のところ反応はありません。Sage 1.4ユーザーの方はくれぐれもご注意を。

尚、当然のことながらうちで配布しているSage++ (Higmmer's Edition)ではこの問題は対策済みです。

(2007/1/31追記)
上記脆弱性は公式版Sage 1.3.9で修正されています。
但し、Sage 1.4においては未だ修正されていない模様です(2007/1/31現在)
対策方法に関する情報はこちらのエントリにまとめてあります。