←Sage++に搭載されているHTMLフィルタに関する技術的補足 トップ はじめまして、カスペルスキー先生→

[重要] Sage++ (Higmmer's Edition) 1.3.10 リリース

■ 自作ソフト Posted by ひぐま on 2007-01-30 at 17:44:26

◆共有テーマ: Firefox [コンピュータ]

先日来皆様にご心配ご迷惑をおかけしておりましたSage++の脆弱性情報の件ですが、本日、本家Sageプロジェクトより、当該脆弱性が修正されたと思われるバージョン1.3.10がリリースされましたこれを受けて当ひまグで公開していた「Sage++ (Higmmer's Edition)」につきましても、公式版における修正内容を反映したバージョン1.3.10を本日リリースさせて頂きます(*)。Sage及びSage++に未知の脆弱性があるとの情報を受けて公開停止しました。(2/10追記) →2007/7/2より公開再開しています。

(*) Firefox本体の設定でアドオンの自動更新機能を有効にしていたり手動で更新チェックを実行してしまうといったん公式版Sageの方に更新されてしまいます(GUIDが同じため)。その場合はお手数ですが上記ページからファイルをダウンロードして再度インストールし直して下さい。 Version 1.3.10aよりGUIDを変更しましたので、アドオンの更新機能によって公式版Sageが上書きされることはありません。(2/3追記)

インストール作業が終わったら、念のためオプションパネルを開いてHTMLフィルタ方式の設定が以下の画像のようになっていることを確認して下さい。

Sage++ 1.3.10 でのHTMLフィルタ方式の設定

HTMLフィルタ方式の「高速」が無効となり、「詳細」が選択されている

尚、こちらで調査した結果、今回修正された脆弱性はSage++ 1.3.9においてはHTMLフィルタ方式が「高速」の場合にのみ発生し、「詳細」の場合は影響を受けないことを確認しております。

今回のバージョンで更新された内容は以下の通りです。

今回の更新では公式版Sage 1.3.10で行われた脆弱性対策(高速HTMLフィルタの修正)コードを一応マージしてありますが、同時に高速HTMLフィルタモードを使用不能にしたため、実際には意味を持たない修正となっております。従来のSage++で詳細HTMLフィルタモードを使用されていた場合は実動作上の違いはありません。但し、誤って高速HTMLフィルタモードに設定してしまうことを防止するために、Sage++ユーザーの方はできるだけ速やかに1.3.10にバージョンアップされることを推奨します。

この度は、私の軽率な行動によりSage及びSage++ユーザーの皆様、脆弱性の第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしてしまいましたことにつきまして、ここに改めてお詫び申し上げます。

〜参考情報〜

JVNより当該脆弱性に関する情報が公開されたのを受けて補足エントリを掲載しました。(2/10追記)

今回修正された脆弱性に関する情報は以下のページにあります。

これらの情報によると、今回IPA(JPCERT/CC)に通報があった脆弱性はこちらで行ったテストでFailした項目のうち「Non-Alpha-Non-Digit」と「Evade_Regex_Filter2」が合わさったタイプのものだったようです。これら2つの脆弱性についてもSage 1.3.10では修正されていることを確認しました。

しかし、残る「Double_open_angle_brackets」については公式版Sage 1.3.10において未だ修正されていない模様です(*)。

(*) 当該脆弱性は拙作Sage++ 1.3.10では発生しません。本件は本家Sageプロジェクトに連絡してありますので、次回リリースで修正されるものと思われます。

やはりこちらのエントリで指摘した通り、現在の公式版Sageが採用しているHTMLフィルタには致命的な欠陥が含まれていると言わざるを得ません(既に現時点において上記を含め少なくとも2種類の「抜け穴」が残存していることを把握済み)。公式版Sageにおいては今後も新たな脆弱性が発覚するリスクが極めて高いと思われます(*)。

(*) だからといって拙作Sage++の方が安全だという意味ではありません。万一脆弱性が見つかった場合の危険度は「どちらも同じ」です(**)。
(**) 言ってる側からSage++に新たな脆弱性が判明してしまいましたorz。詳しくはこちらを参照して下さい。(2/3追記)

以前からの繰り返しになりますが、今後新しく判明するであろう脆弱性を含め、少しでもそのリスクを低減するためにユーザーができる対策として以下の5つを挙げておきたいとおもいます。

  1. 信頼できないフィードを購読しない
  2. 詳細HTMLフィルタで適切なフィルタを設定する (Sage++の場合のみ)
  3. 「HTMLタグを許可する」をオフにする (→2/3追記: これだけでは防げない脆弱性あり)
  4. NoScript拡張を導入する (但しSage 1.4では効果が不十分)
  5. 「フィードをコンテンツエリアに読み込む」をオフにする

番号が大きい対策ほどリスク回避効果が高いことが期待できますが、これらの対策を行ったからといって100%安全になるという保証はどこにもありませんので注意して下さい。もし少しでも不安が残る場合は直ちにSage及びSage++ (Higmmer's Edition)の使用を中止して下さい。

詳しくは以下のエントリも参照して下さい。

(2/9追記) JVNで当該脆弱性に関する情報が公開されたのを受けてリンクを追加しました。

2007-01-30(Tue) 17:44:26 | トラックバック ( 0 ) | コメント ( 0 ) |
←Sage++に搭載されているHTMLフィルタに関する技術的補足 トップ はじめまして、カスペルスキー先生→

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲

←Sage++に搭載されているHTMLフィルタに関する技術的補足 トップ はじめまして、カスペルスキー先生→