Sage及びSage++の脆弱性情報に関する補足

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-02-09 at 19:37:32

◆共有テーマ: Firefox [コンピュータ]

本日JVNにおいて「Sageにおいて任意のスクリプトが実行される脆弱性」に関する情報が公開されました。概要部分を以下に引用します。

Sage は、Mozilla Firefox に RSS/Atom フィードリーダー機能を追加する機能拡張です。Sage には、フィード内の情報を出力する際の処理が不適切なため、ユーザのブラウザ上でフィードに埋め込まれた任意のスクリプトが実行される脆弱性が存在します。

影響を受けるシステム

  • Sage 1.3.9 およびそれ以前

なお、本脆弱性は Sage++ にも影響があることが確認されています。

2007/02/09 現在、Sage++ の公開およびアップデートは停止されています。Sage++ ユーザは Sage の最新版を利用することを推奨します。

JVN#84430861: Sage において任意のスクリプトが実行される脆弱性

(筆者注) 上記リリースには影響を受けるシステムとして「Sage 1.3.9 およびそれ以前」とありますが、開発版Sage 1.4の2007/1/30より以前の版にも同種の脆弱性が存在します。

文中にあるSage++とは、当ひまグで公開していたSageの私製改造版「Sage++ (Higmmer's Edition)」のことを指します。当該脆弱性がSage 1.3.10では影響を受けない(=修正された)とされているところから考えて、やはりBugzillaで先行公表された内容がIPA及びJPCERT/CCを通じて私の方へ連絡があったものと同一案件だった模様です(*)。ここに改めて、今回ご心配ご迷惑をおかけしたユーザー並びに関係者の皆様にお詫び申し上げます。

(*) 私の推測通り報告者はフレッシュリーダーの件と同じ方だったようです。

参考までに、当該脆弱性について当方で調査した内容を以下に示します。

上記ページでも指摘した通り、公式版Sage 1.3.10/1.4には今回公表された以外にも未修正の脆弱性が残存していることが判明しています(本家Sageプロジェクトには通報済み)。当方で把握している脆弱性については拙作Sage++で対策しましたが、その後更に未知の脆弱性があるという情報が出たため当ひまグでの公開を完全停止させて頂きました。 →2007/7/2より公開再開しています。

というわけでJVNのリリースにある通り拙作Sage++の公開及びメンテナンスが停止中であるのは事実ですが、公式版Sage 1.3.10/1.4にも未だ複数の脆弱性が残っていることが確認されているため、当ひまグとしては現時点ではSage(及びSage++)を使い続けることを推奨できる状態にないと言わざるを得ません。やむを得ず利用を継続される場合には少なくとも以下のいずれかの対策を行った方がいいでしょう。

  • 信頼できないフィードを購読しない
  • NoScript拡張を導入する (Sage 1.4では効果が不十分)
  • 「フィードをコンテンツエリアに読み込む」をオフにする

但し、これを行ったからといって100%安全になるという保証はどこにもありませんので注意して下さい。

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲