1.7K Views
June 17, 22
スライド概要
「IE卒業式」 https://web-study.connpass.com/event/250191/ のLT
IEの思い出いろいろ 脆弱性 はせがわようすけ @hasegawayosuke
思い起こせばいろいろな脆弱性があった… だいじょうぶなのMicrosoft? と思い続けた日々 (10年以上前です) #IE卒業式 2022-06-16
※IE関係ない 直らないOffice Office 2007 については、SP3 で対応する予定です。 Office 2010 については、既に修正済みです。 2ヶ月後… ご報告いただきました内容は、最終的に Office 2007 SP3 で の修正は見送られました。 理由は、この機能を使用している他のアプリケーションへの、修正に よる影響とこの問題を修正しない場合のセキュリティ上の脅威との バランスを検討した結果です。 #IE卒業式 2022-06-16
直らないIE6-9 ご報告いただいた件は、これまでのInternet Explorer の修正により、現在発生いたしません。 しかしながら、本現象に関する根本的な修正が必要である と考えており、次期 Internet Explorer(バージョン10) を予定しております。 EUC-JPのページにEUC-JPとして解釈できないバイト列を 埋め込んだときに、内部的に 0x22(") や 0x3C(<) が生成 されてXSS可能という問題 脆弱性として公に取り扱われていないので、どのタイミングで 直ったといえるのかよくわからない #IE卒業式 2022-06-16
そもそもハンドリングできてない 大変恐れ入りますが、ある案件で、はせがわ様からの報告と思われるものがご ざいます。 ご本人の報告かどうかを確認させていただくことは可能でしょうか。 下記内容となります。 現象: Internet Explorerにて、Content-Disposition: attachement ヘッダ を付与されたコンテンツに対して、ファイルのダウンロードのダイアログボック スを回避される件 ※2007年6月14日に報告いただいております。 弊社の管理が徹底できておらず申し訳ございません。 大変お忙しいところ恐れ入りますが、ご確認いただければ幸いです。 MS11-099 / CVE-2011-3404として修正 #IE卒業式 2022-06-16
それ以外にもたくさんの思い出…
[これはひどい]IEの引用符の解釈:教科書に載らないWebアプリ
ケーションセキュリティ(1)(1/3 ページ) - @IT
https://atmarkit.itmedia.co.jp/ait/articles/0902/27/news126.html
<div id="div1"><input type="text" value="`` onmouseover=alert(1)"></div>
...
div2.innerHTML = div1.innerHTML;
// => <div id="div2"><input type=text value="" onmouseover=alert(1)></div>
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らない
Webアプリケーションセキュリティ(3)(1/3 ページ) - @IT
https://atmarkit.itmedia.co.jp/ait/articles/0906/04/news111.html
<div style="left:expres/* ← 全角文字 → */sion( alert('xss') )">
#IE卒業式
2022-06-16
そんななかでも一番思い出深い脆弱性 MS07-034 #IE卒業式 2022-06-16
MS07-034 mhtmlハンドラによるUXSS mhtml プロトコルハンドラを利用することでIEは全ての コンテンツをMHTML(*.eml)扱いしていた mhtml:http://example.com/test.html <html> <div> Subject: test Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: base64 PGh0bWw+DQo8c2NyaXB0PmFsZXJ0KGR vY3VtZW50LmxvY2F0aW9uKTs8L3Njcmlw dD4NCjwvaHRtbD4NCg== </div> </html> #IE卒業式 メールヘッダー扱い メールボディ扱い 2022-06-16
MS07-034 mhtmlハンドラによるUXSS mhtml プロトコルハンドラを利用することでIEは全ての コンテンツをMHTML(*.eml)扱いしていた mhtml:http://example.com/test.html <html> <div> Subject: test Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: base64 PGh0bWw+DQo8c2NyaXB0PmFsZXJ0KGR vY3VtZW50LmxvY2F0aW9uKTs8L3Njcmlw dD4NCjwvaHRtbD4NCg== </div> </html> #IE卒業式 2022-06-16
MS07-034 mhtmlハンドラによるUXSS mhtml プロトコルハンドラを利用することでIEは全ての コンテンツをMHTML(*.eml)扱いしていた mhtml:http://example.com/test.html <html> <div> Subject: test Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: base64 PGh0bWw+DQo8c2NyaXB0PmFsZXJ0KGR vY3VtZW50LmxvY2F0aW9uKTs8L3Njcmlw dD4NCjwvaHRtbD4NCg== <html> </div> <script>alert(document.location);</script> </html> </html> #IE卒業式 2022-06-16
修正までの経緯(1) 2004年5月: 発見者による公開 XSS by JPG/HTML hybrid file http://web.archive.org/web/20040607114853/www2.sala.or.jp/~uuu/security/ jpeg1.html 2004年7月: Slashdot.jpによる記事 「未対策・未発表な多数の国内産脆弱」 http://slashdot.jp/security/article.pl?sid=04/07/29/0635211 2005年2月: Full-Disclosure ML by bitlance winter [Full-Disclosure] Possible XSS issue on Windows XPSP2 IE6 via MIME Encapsulation of Aggregate HTML http://lists.grok.org.uk/pipermail/full-disclosure/2005February/032058.html 2006年9月: id:hoshikuzuさん、はせがわでMicrosoftに報告 #IE卒業式 2022-06-16
修正までの経緯(2) 2006年9月 MSより脆弱性として受理との回答 2006年10月 「脆弱性ではなく仕様に基づく挙動」とMSより回答 2006年10月 MSサイト内でmhtml経由でXSSするものを大量に 報告 microsoft.com / live.com / msn.com / msn.co.jp ... 2006年10月 mhtml:プロトコルハンドラーを経由することで Content-Dispositionが無視される点のみを個別の脆弱性として 報告 2006年12月 MSよりIEではなくOEの脆弱性として対応との回答 2007年6月 MS07-034にてようやく修正 #IE卒業式 2022-06-16
まとめ(?) 当時は脆弱性だと認めてもらうまでのハードルがめちゃ くちゃ高かった 明らかにセキュリティ上問題がある挙動でも「仕様です」の回答 脆弱性だとして受理されてからも修正まで数年を要する そもそも脆弱性情報が正しくハンドリングされないことも… 最近はそういうこともない(と思う)のでいい時代! そのぶん、脆弱性を見つけるハードルも高い>< #IE卒業式 2022-06-16
ありがとう 全てのIE!! たくさんの脆弱性を見つけさせてくれて!